什麼是雙金鑰加密 (DKE) ?

  • 發行項

適用於:Microsoft Purview 雙重密鑰加密、Microsoft PurviewAzure 資訊保護

服務描述: Microsoft Purview

雙重密鑰加密 (DKE) 可讓您保護高度敏感的數據,以符合特殊需求。 DKE 可讓您維持加密金鑰的完整控制權。 它會使用兩個索引鍵來保護數據;控件中的一個金鑰,以及您在 Microsoft Azure 中安全儲存的第二個密鑰。 您可以使用雙重金鑰加密服務來維持其中一個金鑰的完整控制權。 檢視使用雙重金鑰加密保護的數據需要存取這兩個金鑰。 由於 Microsoft 服務只能存取儲存在 Azure 金鑰保存庫 中的密鑰,因此 Microsoft 仍無法存取受保護的數據,以確保您完全掌控數據隱私權和安全性。

DKE 可協助您符合數個法規和標準的法規需求,例如一般數據保護法規 (GDPR) 、 健康保險可移植性和責任法案 (HIPAA) 、Gramm-Leach-Bliley Act (GLBA) 、俄羅斯的數據當地語系化法 – 聯邦法律第 242-FZ、澳大利亞聯邦隱私法 1988 和紐西蘭隱私法 1993。

設定 DKE 服務和金鑰之後,您可以使用 敏感度標籤將保護套用至高度敏感性內容。

支援的部署案例

DKE 支援數個不同的設定,包括雲端和內部部署。 這些部署有助於確保加密數據在儲存位置都保持不透明。

您可以將用來要求金鑰的雙重金鑰加密服務裝載在您選擇的位置 (內部部署金鑰管理伺服器或雲端) 中。 您會如同任何其他應用程式一樣維護服務。 雙重金鑰加密可讓您控制雙重密鑰加密服務的存取權。 您可以將高度敏感的數據儲存在內部部署環境,或將其移至雲端。 雙重金鑰加密可讓您控制將數據和金鑰儲存在相同的地理位置。

如需預設雲端式租使用者根密鑰的詳細資訊,請參閱規劃和實作您的 Azure 資訊保護 租使用者密鑰

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

您的組織何時應採用 DKE

DKE 不適用於每個組織,也不適用於所有數據。 假設典型的組織數據環境具有下列結構:

  • 不區分數據 (大約 80% 的數據) :組織的大部分數據都屬於此類別。 目前將此數據移至雲端沒有任何問題或疑慮。 將這類數據移至雲端可能會有説明,而且組織可以使用雲端內建的安全性。

  • 敏感 (大約 15% 的數據) :敏感數據必須受到保護。 組織預期雲端服務提供者能夠提供安全性,同時提高此類數據的生產力,使其符合合規性法規。 您想要確保此數據已使用 Microsoft Purview 資訊保護 正確標記,並受到訪問控制、保留和稽核原則的保護。

  • 高度敏感性 (大約 5% 的數據) :此集合是組織的通道,必須受到嚴密防護。 組織不希望任何人,包括雲端服務提供者,都能存取這類數據。 此類數據也可以有法規需求,讓密鑰位於與數據相同的地理區域中。 密鑰也可能需要受到組織的嚴格監管。 此內容在貴組織中具有最高的分類, (「最高密碼」) ,且只能存取少數人。 高度敏感數據是惡意使用者所要處理的內容。 遺失此數據可能會損害組織信譽,並中斷與其客戶的信任。

如前所述,雙重密鑰加密適用於受限於最嚴格保護需求的最敏感數據。 在部署之前,您應該盡職盡責地找出要涵蓋此解決方案的正確數據。 在某些情況下,您可能需要縮小範圍並使用其他解決方案。 例如,針對大部分的數據,請考慮使用 Microsoft 管理的金鑰 Microsoft Purview 資訊保護,或將您自己的密鑰 (BYOK) 。 這些解決方案對於不受增強保護和法規需求約束的檔而言已足夠。 此外,這些解決方案可讓您使用功能最強大的 Microsoft 365 服務;您無法搭配 DKE 加密內容使用的服務。 例如:

  • 郵件流程規則,包括需要查看附件的反惡意代碼和垃圾郵件
  • Microsoft Delve
  • 電子文件探索
  • 內容搜尋和編製索引
  • Office Web Apps 包括共同撰寫功能
  • Copilot

任何未透過 Microsoft 資訊保護 SDK 與 DKE 整合的外部應用程式或服務,都無法對加密的數據執行動作。

DKE 加密數據無法供 Microsoft 365 服務存取,包括 Copilot。 當您在 Office 中使用 DKE 加密數據時,Copilot 仍然無法存取數據,而且當您使用 DKE 加密數據時,無法在應用程式中使用 Copilot。 不過,如果您將租用戶設定為「允許使用可分析內容的連線體驗」,則只有當您使用數據時,才能讓分析內容的連線服務存取您的數據。 如需此隱私權設定的詳細資訊,請參閱 分析內容之聯機體驗的原則設定。 您可以設定整個租用戶的設定,或允許使用者個別設定。

Microsoft 資訊保護 SDK 1.7+ 支援雙重密鑰加密。 與我們的 SDK 整合的應用程式可以使用足夠的許可權和整合來推論此數據。

使用 Microsoft Purview 資訊保護 功能 (分類和標記) 來保護大部分的敏感數據,並且只針對任務關鍵性數據使用 DKE。 雙重密鑰加密與金融服務和醫療保健等高度管制產業中的敏感數據有關。

如果您的組織有下列任何需求,您可以使用 DKE 來協助保護您的內容:

  • 您不希望 Microsoft 自行存取受保護的數據。
  • 您有在地理界限內保存金鑰的法規需求。 您保留用於資料加密和解密的所有金鑰都會保留在您的資料中心。

DKE 加密工作流程

本節會將工作流程分成個別步驟,以說明如何使用兩個密鑰來保護 Office 檔。

步驟 1:啟動載入

圖表顯示 DKE、啟動載入的加密工作流程步驟 1。

Microsoft Office 用戶端會執行啟動設定工作,並將要求和資訊傳送至 Azure 資訊保護 服務。 此程式也稱為 啟動載入。 工作包括使用 Microsoft Entra ID 授權使用者、下載憑證和範本等等。 啟動載入工作是第一次連線和啟動工作,可讓使用者存取 Azure Rights Management 加密原則。

步驟 2:收集和快取 Azure Rights Management 公鑰

圖表顯示 DKE 加密工作流程的步驟 2、收集和快取 Azure 公鑰。

Office 應用程式會根據使用 Microsoft Entra ID 的授權使用者,從資訊保護服務中的 Azure 金鑰保存庫 擷取公鑰。 收集之後,客戶端預設會快取密鑰 30 天。 快取之後,用戶端就不需要再次啟動載入至 Azure Rights Management 服務,直到密鑰過期為止。 身為系統管理員,您可以為 Azure Rights Management 設定不同的快取期間。 您必須為此金鑰設定快取期間,或接受 30 天的預設值。 如果沒有快取期間,離線發佈將無法運作。

步驟 3:要求 DKE 公鑰

圖表顯示 DKE 加密工作流程的步驟 3,要求 DKE 公鑰。

Office 用戶端會根據使用 Microsoft Entra ID 的授權使用者,向雙重密鑰加密服務要求其他公鑰。

步驟 4:收集和快取 DKE 金鑰

圖表顯示 DKE 加密工作流程的步驟 4、收集和快取 DKE 公鑰。

雙重金鑰加密服務會將此公鑰傳送至 Office 用戶端。 只要您將金鑰設定為 ,用戶端就會在裝置中快取金鑰。 不同於來自 Azure 的金鑰,

  • 您不需要為雙重金鑰加密服務所裝載的金鑰設定快取期間。

  • 如果您想要設定快取期間,您可以在部署雙重金鑰加密服務時或部署之後進行設定。

步驟 5:使用 DKE 金鑰保護檔

圖表顯示 DKE 加密工作流程的步驟 5,使用 DKE 金鑰保護檔。

Microsoft Office 用戶端會使用從雙重密鑰加密服務擷取的公鑰,來加密元數據的一部分,以 控制對內容 的存取。

步驟 6:使用 Azure 金鑰保護檔

圖表顯示 DKE 加密工作流程的步驟 6,使用 Azure 金鑰保護檔。

Microsoft Office 用戶端會使用您來自 Azure 的公鑰來加密 檔元 數據中已加密的部分。

數據現在會使用這兩個索引鍵來保護。

DKE 的系統和授權需求

本節詳細說明伺服器和客戶端系統,以及您在環境中成功部署 DKE 之前必須符合的設定需求。

DKE 的授權需求

雙重金鑰加密隨附 Microsoft 365 E5。 如果您沒有 Microsoft 365 E5 授權,您可以註冊試用版。 如需這些授權的詳細資訊,請參閱 安全性 & 合規性的 Microsoft 365 授權指導方針

DKE 需要 Azure Rights Management 服務

DKE 可與敏感度標籤搭配使用,而且需要透過 Microsoft Purview 資訊保護 的許可權管理進行加密。

Office 應用程式的 DKE 標籤需求

使用 Office 應用程式內建的敏感度標籤,在 Word、Excel、PowerPoint 和 Outlook 中支援 DKE。 如需支援的版本,請參閱 功能數據表數據列 Double Key Encryption (DKE)

用戶端電腦上的 DKE

用戶會透過這些介面套用 DKE 敏感度標籤。

  • Windows Office 應用程式中的敏感度標籤

  • 在 Windows 檔案總管 中 Microsoft Purview 資訊保護 檔案標籤器

  • Microsoft Purview 資訊保護 PowerShell

  • Microsoft Purview 資訊保護 掃描器

在您想要保護和取用受保護檔的每部用戶端電腦上安裝必要條件。

儲存和檢視受 DKE 保護內容的支持環境

支援的應用程式Microsoft 365 Apps 企業版 Windows 上的用戶端,包括 Word、Excel、PowerPoint 和 Outlook。

在線內容支援。 您可以在 SharePoint 和 OneDrive 中在線儲存受到雙重密鑰加密保護的文件和檔案。 上傳至這些位置之前,您必須使用支援的應用程式所提供的 DKE 來標記及保護檔案和檔案。 您可以透過電子郵件共用加密的內容,但無法在線檢視加密的文件和檔案。 相反地,您必須在本機計算機上使用支援的桌面應用程式和用戶端來檢視受保護的內容。 Microsoft 無法存取您在 DKE 服務中控制的金鑰。 若沒有這兩個密鑰,Microsoft 365 就無法在瀏覽器中轉譯內容。 因此,DKE 加密文件無法與 Microsoft Office Online 搭配使用。 您仍然可以將加密的文件上傳至 SharePoint 或 OneDrive;不過,您的檔會加密至 SharePoint 和 OneDrive 的 Blob。

在 Office 應用程式外部標記案例。 使用 檔案總管 按兩下滑鼠右鍵選項、Microsoft Purview 資訊保護 PowerShell 標籤 Cmdlet 或 Microsoft Purview 資訊保護 中的 Microsoft Purview 資訊保護 檔案捲標,在 Office 應用程式外部套用 DKE 標籤掃描器。

僅加密和不可轉寄案例。 DKE 不支援僅加密和不可轉寄。

相關內容