適用於:Microsoft Purview 雙重金鑰加密、Microsoft Purview、Azure 資訊保護
服務說明: Microsoft Purview
雙重金鑰加密 (DKE) 讓您能保護高度敏感的資料,以符合專業需求。 DKE 讓你能維持對加密金鑰的控制權。 它使用兩個金鑰來保護資料;一把金鑰在你控制,另一把金鑰則安全存放在 Microsoft Azure。 你透過雙重金鑰加密服務來控制其中一把金鑰。 查看雙重金鑰加密保護的資料需要同時存取兩把金鑰。
DKE 協助您符合多項法規與標準的法規要求,例如《通用資料保護條例》 (GDPR) 、健康保險攜帶與責任法案 (HIPAA) 、Gramm-Leach-Bliley 法案 (GLBA) 、俄羅斯資料在地化法(聯邦法第 242-FZ)、澳洲 1988 年聯邦隱私法,以及紐西蘭 1993 年隱私法。
在你設定好DKE服務和金鑰後,你會用 敏感標籤保護你高度敏感的內容。
支援的部署情境
DKE 支援多種不同的配置,包括雲端與本地部署。 這些部署有助於確保加密資料無論存放在哪裡都能保持不透明。
你可以在選擇的地點 (本地金鑰管理伺服器或雲端) 中架設用於請求金鑰的雙金鑰加密服務。 你維護服務就像維護其他應用程式一樣。 雙重金鑰加密讓你能控制對雙重金鑰加密服務的存取權限。 你可以將高度敏感的資料儲存在本地或雲端。 雙重金鑰加密讓您能控制將資料與金鑰存放在同一地理位置。
欲了解更多關於預設雲端租戶根金鑰的資訊,請參閱「管理您的 Azure 權利管理服務的根金鑰」。
您的組織何時應該採用DKE
DKE 並不適合每個組織,也不是適用於你所有的資料。 假設一個典型的組織資料環境具有以下結構:
非敏感資料約 (80%的資料) :組織的大部分資料都屬於這類。 目前將這些資料移至雲端並無問題或疑慮。 將這些資料移至雲端是有益的,組織也能利用雲端內建的安全機制。
敏感 (約15%的資料) :敏感資料需要受到保護。 該組織期望雲端服務提供商在提升這類資料的安全性同時提升生產力,以符合合規法規。 你要確保這些資料使用Microsoft Purview 資訊保護正確標示,並透過存取控制、保留及稽核政策來保護。
高度敏感 (約5%的資料) :這組是組織的皇冠上的寶石,必須嚴密守護。 該組織不希望任何人接觸到這些資料。 這類資料也可能有法規要求,必須將金鑰置於與資料相同的地理區域。 鑰匙也可能需要由組織嚴格保管。 這些內容在你們組織中屬於最高機密 (「最高機密」) 且僅限少數人存取。 惡意使用者會針對高度敏感的資料。 這些資料的遺失可能損害組織聲譽,並破壞與客戶的信任。
如前所述,雙重金鑰加密是針對你最敏感且受最嚴格保護要求的資料。 在部署前,你應該盡職調查,找出適合用此解決方案覆蓋的資料。 在某些情況下,你可能需要縮小範圍,採用其他解決方案。 例如,大部分資料可以考慮Microsoft Purview 資訊保護Microsoft管理金鑰,或自備金鑰 (自備金鑰) 。 這些解決方案對於不受加強保護和監管要求約束的文件來說,已經足夠了。 此外,這些解決方案讓您能使用最強大的 Microsoft 365 服務;這些服務無法用於 DKE 加密內容。 例如:
- 郵件流程規則,包括反惡意軟體和垃圾郵件,要求附件中可見
- Microsoft Delve
- 電子文件探索
- 內容搜尋與索引
- Office Web Apps 包含共同撰寫功能
- Copilot
DKE 加密的資料在靜態狀態下無法被 Microsoft 365 服務(包括 Copilot)存取。 當你在 Office 中使用 DKE 加密的資料時,Copilot 仍然無法存取這些資料,且你在使用 DKE 加密資料時無法在應用程式中使用 Copilot。
未透過 Microsoft 資訊保護 SDK 整合 DKE 的外部應用程式或服務,無法對加密資料執行操作。 Microsoft 資訊保護 SDK 1.7+ 支援雙重金鑰加密。 與我們 SDK 整合的應用程式,只要具備足夠的權限與整合,就能推理這些資料。
當你的 DKE 加密資料在 Office 應用程式中使用時,根據你的 Office 版本,其他 Microsoft 365 服務可能會存取它:
在最新版本的 Office 中,正在使用的 DKE 加密資料也無法被 Microsoft 365 服務存取。 由於這項變更與敏感性標籤的隱私控制同時推出,該隱私控制禁止將標籤內容傳送至連網體驗進行分析,您可以透過 功能表 和「 防止連網體驗分析內容」列來識別最小 Office 版本。
在先前版本的 Office 中,Microsoft 365 服務會存取 DKE 加密的資料,除非你使用政策設定關閉分析內容的連線體驗。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制。
利用Microsoft Purview 資訊保護功能 (分類與標註) 來保護大部分敏感資料,並只對關鍵任務資料使用DKE。 雙重金鑰加密對於金融服務和醫療等高度管制產業中的敏感資料尤為相關。
如果您的組織有以下任何要求,您可以使用 DKE 來協助保護您的內容:
- 你有法規要求必須在地理範圍內持有鑰匙。
- 你持有的所有用於資料加密和解密的金鑰都保存在你的資料中心。
DKE 加密工作流程
本節將工作流程拆解成多個步驟,說明如何使用兩個鍵來保護 Office 文件。
步驟一:自助
Microsoft Office 用戶端負責執行啟動設定任務,並將請求與資訊傳送給 Azure 資訊保護 加密服務。 這個過程也稱為 自助法(bootstrapping)。 任務包括使用 Microsoft Entra ID 授權使用者、下載憑證與範本等。 啟動任務是首次連線與啟動任務,讓使用者能存取 Azure 權利管理的加密政策。
步驟 2:收集並快取 Azure 權利管理公開金鑰
Office 應用程式會根據授權使用者使用 Microsoft Entra ID,從加密服務中的Azure 金鑰保存庫取得公鑰。 一旦收集完,客戶端預設會將金鑰快取 30 天。 快取完成後,客戶端不必再啟動到 Azure 權利管理服務,直到金鑰到期。 作為管理員,你可以為 Azure 權利管理服務設定不同的快取期間。 你需要為這個金鑰設定快取期限,或接受預設的 30 天。 沒有快取期間,離線發佈無法運作。
步驟 3:請求 DKE 公鑰
Office 用戶端會根據授權使用者使用 Microsoft Entra ID,向雙重金鑰加密服務請求你的另一組公開金鑰。
步驟 4:收集並快取 DKE 金鑰
雙重金鑰加密服務會將此公鑰傳送給 Office 用戶端。 客戶端會把金鑰快取到裝置裡,直到你設定為為止。 與 Azure 的金鑰不同,
你不需要為雙重金鑰加密服務所託管的金鑰設定快取期。
如果你真的想設定快取期間,可以在部署雙鍵加密服務時,或是在部署後設定。
步驟五:用 DKE 鍵保護文件
Microsoft Office 用戶端會用從雙重金鑰加密服務取得的公開金鑰,加密控制 內容存取 的元資料部分。
步驟 6:用 Azure 金鑰保護文件
Microsoft Office 用戶端會用你從 Azure 提供的公鑰加密已經加密的文件中繼資料部分。
資料現在同時受到兩個金鑰的保護。
DKE 的系統與授權要求
本節詳述伺服器與用戶端系統及配置需求,必須滿足才能成功部署 DKE 於環境中。
DKE 的執照要求
雙重金鑰加密隨 Microsoft 365 E5 一同支援。 如果你沒有 Microsoft 365 E5 授權,可以註冊試用。 欲了解更多關於這些授權的資訊,請參閱 Microsoft 365安全 & 合規授權指引。
DKE 必須使用 Azure 權利管理服務
DKE 使用敏感性標籤,並要求透過 Microsoft Purview 資訊保護的權限管理進行加密。
Office 應用程式的 DKE 標示要求
使用內建於 Office 應用程式的敏感度標籤,以支援 Word、Excel、PowerPoint 和 Outlook 中的 DKE。 支援版本請參閱 功能表 及 DKE) (雙重金鑰加密 列。
用戶端電腦上的DKE
使用者透過這些介面套用 DKE 敏感性標籤。
Windows Office 應用程式中的敏感度標示
Windows 檔案總管中的 Microsoft Purview 資訊保護檔案標籤器
Microsoft Purview 資訊保護 PowerShell
Microsoft Purview 資訊保護掃描器
在每台你想保護和使用受保護文件的客戶端電腦上安裝前置條件。
支援儲存與檢視 DKE 保護內容的環境
支援應用程式。 Windows 上的 Microsoft 365 Apps 企業版應用程式,包括 Word、Excel、PowerPoint 與 Outlook。
線上內容支援。 你可以將受雙重金鑰加密保護的文件和檔案,分別存放在 SharePoint 和 OneDrive 線上。 您必須在上傳至這些地點前,透過支援的應用程式標註並保護文件與檔案。 你可以透過電子郵件分享加密內容,但無法在線上查看加密文件和檔案。 相反地,你必須使用支援的桌面應用程式和用戶端,在本地電腦上查看受保護內容。
在 Office 應用程式外標註情境。 在 Office 應用程式外,使用 檔案總管右鍵點擊選項中的 Microsoft Purview 資訊保護檔案標籤器、Microsoft Purview 資訊保護 PowerShell 標籤指令碼,或 Microsoft Purview 資訊保護掃描器。
在 Office 應用程式之外查看受 DKE 保護的內容。 您可以使用 Microsoft Purview 資訊保護檢視器來瀏覽受 DKE 保護的電子郵件及文件,如 PDF。
只加密,不轉發情境。 Outlook 的 DKE 不支援僅加密和不轉發。 其他所有 Office 應用程式都支援 DKE 的使用者自訂權限標籤。