什么是双密钥加密 (DKE) ?

  • 项目

适用于:Microsoft Purview 双密钥加密、Microsoft PurviewAzure 信息保护

服务说明: Microsoft Purview

使用双密钥加密 (DKE) ,可以保护高度敏感数据以满足特殊要求。 DKE 允许你保持对加密密钥的完全控制。 它使用两个密钥来保护数据:控件中的一个密钥和安全存储在 Microsoft Azure 中的第二个密钥。 使用双密钥加密服务可以完全控制其中一个密钥。 查看使用双密钥加密保护的数据需要访问这两个密钥。 由于 Microsoft 服务只能访问存储在 Azure 密钥保管库 中的密钥,因此 Microsoft 无法访问受保护的数据,从而确保你完全控制数据隐私和安全。

DKE 可帮助你满足多个法规和标准的法规要求,例如通用数据保护条例 (GDPR) , 健康保险可移植性和责任法案 (HIPAA) 、gramm-Leach-Bliley 法案 (GLBA) 、俄罗斯的数据本地化法 - 联邦法律第 242-FZ 号、1988 年澳大利亚联邦隐私法和 1993 年新西兰隐私法。

设置 DKE 服务和密钥后,可使用 敏感度标签对高度敏感的内容应用保护。

支持的部署方案

DKE 支持多种不同的配置,包括云部署和本地部署。 这些部署有助于确保加密数据无论存储在何处都保持不透明。

可以将用于请求密钥的双密钥加密服务托管在本地密钥管理服务器或云) 所选位置 (。 可以像维护任何其他应用程序一样维护服务。 使用双密钥加密可以控制对双密钥加密服务的访问权限。 可以将高度敏感的数据存储在本地,也可以将其移动到云。 使用双密钥加密,可以控制将数据和密钥存储在同一地理位置。

有关基于云的默认租户根密钥的详细信息,请参阅规划和实现 Azure 信息保护租户密钥

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

你的组织何时应采用 DKE

DKE 不适用于每个组织,也不适用于所有数据。 假设典型的组织数据布局具有以下结构:

  • 非敏感数据 (大约 80% 的数据) :组织的大部分数据属于此类别。 目前,将此数据移动到云中没有任何问题或顾虑。 将此类数据移动到云可能很有好处,组织可以使用云中内置的安全性。

  • 敏感 (大约 15% 的数据) :需要保护敏感数据。 组织希望云服务提供商提供安全性,同时提高此类数据的工作效率,以便满足合规性法规要求。 你希望确保使用 Microsoft Purview 信息保护 正确标记此数据,并使用访问控制、保留和审核策略进行保护。

  • 高度敏感 (大约 5% 的数据) :此集是组织的皇冠宝石,需要严格防范。 组织不希望任何人(包括云服务提供商)有权访问此类数据。 此类数据还可以具有法规要求,要求将密钥与数据位于同一地理区域中。 密钥可能还需要由组织的严格保管。 此内容在组织中具有最高分类 (“最高机密”) ,访问权限仅限于少数人。 高度敏感数据是恶意用户所追捧的内容。 丢失此数据可能会损害组织的声誉,并破坏与客户的信任。

如前所述,双密钥加密适用于受最严格保护要求约束的最敏感数据。 在部署之前,应尽职尽责地确定要在此解决方案中涵盖的正确数据。 在某些情况下,可能需要缩小范围并使用其他解决方案。 例如,对于大多数数据,请考虑使用 Microsoft 管理的密钥Microsoft Purview 信息保护,或者将自己的密钥 (BYOK) 。 这些解决方案足以满足不受增强保护和法规要求约束的文档。 此外,这些解决方案使你能够使用最强大的 Microsoft 365 服务;不能与 DKE 加密内容一起使用的服务。 例如:

  • 邮件流规则,包括需要查看附件的反恶意软件和垃圾邮件
  • Microsoft Delve
  • 电子数据展示
  • 内容搜索和索引
  • Office Web 应用包括共同创作功能
  • 副 驾驶

任何未通过 Microsoft 信息保护 SDK 与 DKE 集成的外部应用程序或服务都无法对加密数据执行操作。

Microsoft 365 服务(包括 Copilot)无法静态访问 DKE 加密数据。 在 Office 中使用 DKE 加密数据时,Copilot 仍无法访问这些数据,在使用 DKE 加密数据时,无法在应用中使用 Copilot。 但是,如果将租户设置为“允许使用分析内容的连接体验”,则分析内容的连接服务可以访问数据,但只能在使用时访问数据。 有关此隐私设置的详细信息,请参阅 分析内容的连接体验的策略设置。 可以为整个租户配置设置,或允许用户单独设置该设置。

Microsoft 信息保护 SDK 1.7+ 支持双密钥加密。 与 SDK 集成的应用程序可以通过足够的权限和集成来推理此数据。

使用Microsoft Purview 信息保护功能 (分类和标记) 来保护大部分敏感数据,并且仅对任务关键型数据使用 DKE。 双密钥加密适用于高度管控行业(如金融服务和医疗保健)中的敏感数据。

如果组织有以下任何要求,可以使用 DKE 来帮助保护内容:

  • 你不希望 Microsoft 自行访问受保护的数据。
  • 你具有在地理边界内保存密钥的法规要求。 保存用于数据加密和解密的所有密钥都在数据中心进行维护。

DKE 加密工作流

本部分将工作流分解为单独的步骤,以说明如何使用两个密钥来保护 Office 文档。

步骤 1:引导

此图显示了 DKE 引导加密工作流的步骤 1。

Microsoft Office 客户端执行启动配置任务,并将请求和信息发送到 Azure 信息保护 服务。 此过程也称为 引导。 任务包括使用Microsoft Entra ID授权用户、下载证书和模板等。 引导任务是首次连接和启动任务,可让用户访问 Azure Rights Management 加密策略。

步骤 2:收集和缓存 Azure Rights Management 公钥

此图显示了 DKE、收集和缓存 Azure 公钥的加密工作流的步骤 2。

Office 应用根据使用 Microsoft Entra ID 的授权用户从信息保护服务中的 Azure 密钥保管库检索公钥。 收集密钥后,客户端默认缓存密钥 30 天。 缓存后,客户端无需再次启动到 Azure Rights Management 服务,直到密钥过期。 作为管理员,可以为 Azure Rights Management 配置不同的缓存期。 需要为此密钥设置缓存期,或接受默认值 30 天。 如果没有缓存期,脱机发布将不起作用。

步骤 3:请求 DKE 公钥

此图显示了 DKE 的加密工作流的步骤 3,即请求 DKE 公钥。

Office 客户端根据使用 Microsoft Entra ID 的授权用户从双密钥加密服务请求其他公钥。

步骤 4:收集和缓存 DKE 密钥

图中显示了 DKE、收集和缓存 DKE 公钥的加密工作流的步骤 4。

双密钥加密服务将此公钥发送到 Office 客户端。 客户端会将密钥缓存在设备中,只要配置了密钥。 与 Azure 中的密钥不同,

  • 无需为双密钥加密服务托管的密钥设置缓存期。

  • 如果确实想要设置缓存期,可以在部署双密钥加密服务时或部署后进行设置。

步骤 5:使用 DKE 密钥保护文档

此图显示了 DKE 加密工作流的步骤 5,即使用 DKE 密钥保护文档。

Microsoft Office 客户端使用从双密钥加密服务检索的公钥对 控制对内容的访问 的元数据部分进行加密。

步骤 6:使用 Azure 密钥保护文档

此图显示了 DKE 加密工作流的步骤 6,即使用 Azure 密钥保护文档。

Microsoft Office 客户端使用 Azure 中的公钥加密 文档元数据的已加密部分

数据现在受到这两个密钥的保护。

DKE 的系统和许可要求

本部分详细介绍了在环境中成功部署 DKE 之前必须满足的服务器和客户端系统和配置要求。

DKE 的许可要求

双密钥加密附带Microsoft 365 E5。 如果没有Microsoft 365 E5许可证,可以注册试用版。 有关这些许可证的详细信息,请参阅 Microsoft 365 安全 & 合规性许可指南

DKE 需要 Azure Rights Management 服务

DKE 适用于敏感度标签,并且需要通过Microsoft Purview 信息保护的权限管理进行加密。

Office 应用的 DKE 标记要求

使用 Office 应用中内置的敏感度标签支持 Word、Excel、PowerPoint 和 Outlook 中的 DKE。 有关支持的版本,请参阅 功能表 和行 双密钥加密 (DKE)

客户端计算机上的 DKE

用户通过这些接口应用 DKE 敏感度标签。

  • Windows Office 应用中的敏感度标签

  • Windows 文件资源管理器 中的Microsoft Purview 信息保护文件标签器

  • Microsoft Purview 信息保护 PowerShell

  • Microsoft Purview 信息保护扫描程序

在要保护和使用受保护文档的每台客户端计算机上安装必备组件。

用于存储和查看受 DKE 保护的内容的支持环境

支持的应用程序Microsoft 365 企业应用版 Windows 上的客户端,包括 Word、Excel、PowerPoint 和 Outlook。

联机内容支持。 可以在 SharePoint 和 OneDrive 中联机存储受双重密钥加密保护的文档和文件。 在上传到这些位置之前,必须使用受支持的应用程序使用 DKE 标记和保护文档和文件。 可以通过电子邮件共享加密内容,但无法联机查看加密的文档和文件。 相反,必须使用本地计算机上支持的桌面应用程序和客户端查看受保护的内容。 Microsoft 无权访问你在 DKE 服务中控制的密钥。 如果没有这两个键,Microsoft 365 无法在浏览器中呈现内容。 因此,DKE 加密文档不适用于 Microsoft Office 联机。 你仍然可以将加密文档上传到 SharePoint 或 OneDrive;但是,文档是 SharePoint 和 OneDrive 的加密 Blob。

标记 Office 应用之外的方案。 使用 文件资源管理器 右键单击选项、Microsoft Purview 信息保护 PowerShell 标记 cmdlet 或 中的 Microsoft Purview 信息保护 文件标签器在 Office 应用外部应用应用 DKE 标签Microsoft Purview 信息保护扫描仪。

“仅加密”和“不转发”方案。 DKE 不支持“仅加密”和“不转发”。

相关内容