什么是双密钥加密 (DKE) ?
适用于:Microsoft Purview 双密钥加密、Microsoft Purview、Azure 信息保护
服务说明: Microsoft Purview
使用双密钥加密 (DKE) ,可以保护高度敏感数据以满足特殊要求。 DKE 允许你保持对加密密钥的控制。 它使用两个密钥来保护数据:控件中的一个密钥,另一个密钥安全地存储在 Azure Microsoft。 可以使用双密钥加密服务保持对其中一个密钥的控制。 查看使用双密钥加密保护的数据需要访问这两个密钥。
DKE 可帮助你满足多个法规和标准的法规要求,例如通用数据保护条例 (GDPR) , 健康保险可移植性和责任法案 (HIPAA) 、gramm-Leach-Bliley 法案 (GLBA) 、俄罗斯的数据本地化法 - 联邦法律第 242-FZ 号、1988 年澳大利亚联邦隐私法和 1993 年新西兰隐私法。
设置 DKE 服务和密钥后,可使用 敏感度标签对高度敏感的内容应用保护。
DKE 支持多种不同的配置,包括云部署和本地部署。 这些部署有助于确保加密数据无论存储在何处都保持不透明。
可以将用于请求密钥的双密钥加密服务托管在本地密钥管理服务器或云) 所选位置 (。 可以像维护任何其他应用程序一样维护服务。 使用双密钥加密可以控制对双密钥加密服务的访问权限。 可以将高度敏感的数据存储在本地,也可以将其移动到云。 使用双密钥加密,可以控制将数据和密钥存储在同一地理位置。
有关基于云的默认租户根密钥的详细信息,请参阅规划和实现 Azure 信息保护租户密钥。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
DKE 不适用于每个组织,也不适用于所有数据。 假设典型的组织数据布局具有以下结构:
非敏感数据 (大约 80% 的数据) :组织的大部分数据属于此类别。 目前,将此数据移动到云中没有任何问题或顾虑。 将此类数据移动到云可能很有好处,组织可以使用云中内置的安全性。
敏感 (大约 15% 的数据) :需要保护敏感数据。 组织希望云服务提供商提供安全性,同时提高此类数据的工作效率,以便满足合规性法规要求。 你希望确保使用 Microsoft Purview 信息保护 正确标记此数据,并使用访问控制、保留和审核策略进行保护。
高度敏感 (大约 5% 的数据) :此集是组织的皇冠宝石,需要严格防范。 组织不希望任何人有权访问此类数据。 此类数据还可以具有法规要求,要求将密钥与数据位于同一地理区域中。 密钥可能还需要由组织的严格保管。 此内容在组织中具有最高分类 (“最高机密”) ,访问权限仅限于少数人。 高度敏感数据是恶意用户所追捧的内容。 丢失此数据可能会损害组织的声誉,并破坏与客户的信任。
如前所述,双密钥加密适用于受最严格保护要求约束的最敏感数据。 在部署之前,应尽职尽责地确定要在此解决方案中涵盖的正确数据。 在某些情况下,可能需要缩小范围并使用其他解决方案。 例如,对于大多数数据,请考虑使用Microsoft管理的密钥Microsoft Purview 信息保护,或者将自己的密钥 (BYOK) 。 这些解决方案足以满足不受增强保护和法规要求约束的文档。 此外,这些解决方案使你能够使用最强大的 Microsoft 365 服务;不能与 DKE 加密内容一起使用的服务。 例如:
- 邮件流规则,包括需要查看附件的反恶意软件和垃圾邮件
- Microsoft Delve
- 电子数据展示
- 内容搜索和索引
- Office Web 应用包括共同创作功能
- Copilot
Microsoft 365 服务(包括 Copilot)无法静态访问 DKE 加密数据。 在 Office 中使用 DKE 加密数据时,Copilot 仍无法访问这些数据,在使用 DKE 加密数据时,无法在应用中使用 Copilot。
未通过 Microsoft 信息保护 SDK 与 DKE 集成的外部应用程序或服务无法对加密数据执行操作。 Microsoft 信息保护 SDK 1.7+ 支持双密钥加密。 与 SDK 集成的应用程序可以通过足够的权限和集成来推理此数据。
在 Office 应用中使用 DKE 加密数据时,其他 Microsoft 365 服务可能会访问这些数据,具体取决于你的 Office 版本:
在最新版本的 Office 中,Microsoft 365 服务也无法访问正在使用的 DKE 加密数据。 由于此更改是在针对敏感度标签的单独隐私控件(阻止将已标记内容发送到连接体验进行分析)推出的同时进行的,因此可以使用 功能表 和行 “防止用于分析内容的连接体验”来确定最低 Office 版本。
在早期版本的 Office 中,Microsoft 365 服务可以访问正在使用的 DKE 加密数据,除非使用策略设置来关闭用于分析内容的连接体验。 有关详细信息,请参阅使用策略设置来管理 Microsoft 365 企业应用版的隐私控制。
使用Microsoft Purview 信息保护功能 (分类和标记) 来保护大部分敏感数据,并且仅对任务关键型数据使用 DKE。 双密钥加密适用于高度管控行业(如金融服务和医疗保健)中的敏感数据。
如果组织有以下任何要求,可以使用 DKE 来帮助保护内容:
- 你具有在地理边界内保存密钥的法规要求。
- 保存用于数据加密和解密的所有密钥都在数据中心进行维护。
本部分将工作流分解为单独的步骤,以说明如何使用两个密钥来保护 Office 文档。
Microsoft Office 客户端执行启动配置任务,并将请求和信息发送到 Azure 信息保护 服务。 此过程也称为 引导。 任务包括使用Microsoft Entra ID授权用户、下载证书和模板等。 引导任务是首次连接和启动任务,可让用户访问 Azure Rights Management 加密策略。
Office 应用根据使用 Microsoft Entra ID 的授权用户从信息保护服务中的 Azure 密钥保管库检索公钥。 收集密钥后,客户端默认缓存密钥 30 天。 缓存后,客户端无需再次启动到 Azure Rights Management 服务,直到密钥过期。 作为管理员,可以为 Azure Rights Management 配置不同的缓存期。 需要为此密钥设置缓存期,或接受默认值 30 天。 如果没有缓存期,脱机发布将不起作用。
Office 客户端根据使用 Microsoft Entra ID 的授权用户从双密钥加密服务请求其他公钥。
双密钥加密服务将此公钥发送到 Office 客户端。 客户端会将密钥缓存在设备中,只要配置了密钥。 与 Azure 中的密钥不同,
无需为双密钥加密服务托管的密钥设置缓存期。
如果确实想要设置缓存期,可以在部署双密钥加密服务时或部署后进行设置。
Microsoft Office 客户端使用从双密钥加密服务检索的公钥对 控制对内容的访问 的元数据部分进行加密。
Microsoft Office 客户端使用 Azure 中的公钥加密 文档元数据的已加密部分 。
数据现在受到这两个密钥的保护。
本部分详细介绍了在环境中成功部署 DKE 之前必须满足的服务器和客户端系统和配置要求。
双密钥加密附带Microsoft 365 E5。 如果没有Microsoft 365 E5许可证,可以注册试用版。 有关这些许可证的详细信息,请参阅 安全 & 合规性Microsoft 365 许可指南。
DKE 适用于敏感度标签,并且需要通过Microsoft Purview 信息保护的权限管理进行加密。
使用 Office 应用中内置的敏感度标签支持 Word、Excel、PowerPoint 和 Outlook 中的 DKE。 有关支持的版本,请参阅 功能表 和行 双密钥加密 (DKE) 。
用户通过这些接口应用 DKE 敏感度标签。
Windows Office 应用中的敏感度标签
Windows 文件资源管理器 中的Microsoft Purview 信息保护文件标签器
Microsoft Purview 信息保护 PowerShell
Microsoft Purview 信息保护扫描程序
在要保护和使用受保护文档的每台客户端计算机上安装必备组件。
支持的应用程序。 Microsoft 365 企业应用版 Windows 上的客户端,包括 Word、Excel、PowerPoint 和 Outlook。
联机内容支持。 可以在 SharePoint 和 OneDrive 中联机存储受双重密钥加密保护的文档和文件。 在上传到这些位置之前,必须使用受支持的应用程序使用 DKE 标记和保护文档和文件。 可以通过电子邮件共享加密内容,但无法联机查看加密的文档和文件。 相反,必须使用本地计算机上支持的桌面应用程序和客户端查看受保护的内容。
标记 Office 应用之外的方案。 使用 文件资源管理器 右键单击选项、Microsoft Purview 信息保护 PowerShell 标记 cmdlet 或 中的 Microsoft Purview 信息保护 文件标签器在 Office 应用外部应用应用 DKE 标签Microsoft Purview 信息保护扫描仪。
在 Office 应用之外查看受 DKE 保护的内容。 可以使用 Microsoft Purview 信息保护 查看器来使用受 DKE 保护的电子邮件和 PDF 等文档。
“仅加密”和“不转发”方案。 DKE 不支持“仅加密”和“不转发”。