이중 키 암호화 FAQ

DKE 레이블을 사용하여 데스크톱 버전의 Word, Excel, PowerPoint 및 Windows용 Outlook을 사용하여 문서를 보호할 수 있습니다. 지원되는 버전의 Office 앱을 사용하고 있는지 확인하려면 기능 테이블 및 DKE(이중 키 암호화) 행을 참조하세요.

예! Office 앱에서 기본 제공 민감도 레이블 지정을 사용할 수 있습니다. 자세한 내용은 기능 테이블 및 DKE(이중 키 암호화) 행을 참조하세요. 지금은 정보 보호 클라이언트를 사용하여 이중 키 암호화를 사용하여 문서를 보호할 수 있지만 이 메서드는 나중에 더 이상 사용되지 않습니다.

이중 키 암호화는 두 개의 키로 데이터를 암호화합니다. 암호화 키는 컨트롤에 있고 두 번째 키는 Microsoft Azure에 저장되므로 암호화된 데이터를 클라우드로 이동할 수 있습니다. HYOK는 하나의 키로만 콘텐츠를 보호하고 키는 항상 온-프레미스에 있습니다.

이중 키 암호화 문서를 해당 사용자가 있는 한 별도의 테넌트에서 사용자와 공유할 수 있습니다.

• 이중 키 암호화 서비스에서 키에 액세스하는 데 필요한 권한이 있어야 합니다.

• Microsoft Azure에서 키에 액세스하는 데 필요한 권한이 있습니다.

이중 키 암호화 배포는 기존 HYOK 설정에 영향을 주지 않습니다. 그러나 HYOK와 병렬로 이중 키 암호화를 사용하는 것이 좋습니다.

서비스에 Microsoft Azure에 대한 액세스 권한이 필요하므로 DKE는 이러한 환경을 지원하지 않습니다.

온-프레미스 또는 클라우드에 이중 키 암호화 문서를 저장할 수 있습니다. 클라우드에서 암호화된 콘텐츠를 SharePoint Online으로 이동하고 비즈니스용 OneDrive 수 있습니다. Office Web Apps 온라인으로 암호화된 문서를 볼 수 없습니다.

DKE 레이블은 Microsoft Purview Information Protection 다른 민감도 레이블과 동일한 언어로 지역화됩니다. 이중 키 암호화는 전 세계적으로 사용할 수 있습니다.

아니요. 만든 후에는 레이블에 DKE를 추가할 수 없습니다. 대신 이중 키 암호화 사용을 선택하고 레이블을 만들 때 이중 키 암호화 서비스의 URL을 제공해야 합니다.

Azure에 저장하는 키를 롤링(회전 또는 다시 키 지정이라고도 함)에 대한 지침은 테넌트 키에 대한 작업을 참조하세요. DKE 서비스의 새 키를 만드는 방법에 대한 자세한 내용은 테넌트 및 키 설정을 참조하세요. 키를 만들 때 이름과 GUID를 설정합니다. 그런 다음 키를 회전하는 경우 이전 레코드를 이름과 GUID로 유지하지만 이름이 같지만 GUID가 다른 새 레코드를 추가합니다. 새 키는 공개 키 API가 새 암호화를 위해 반환하기 시작하도록 활성으로 설정됩니다. 두 키 모두 암호 해독에 사용할 수 있으므로 새 콘텐츠와 이전 콘텐츠의 암호를 해독할 수 있습니다.

DKE로 보호된 콘텐츠를 볼 수 있는 권한은 사용자가 organization 관리하는 엔드포인트에 인증해야 합니다. organization 사용자가 DKE로 보호된 콘텐츠를 볼 수 없는 경우 키 액세스 설정 구성을 검토합니다.

• 2402 이전: mTLS 지원이 없습니다.

• 2402 이후: 앱은 클라이언트 인증 전송을 지원하지 않습니다. 대신 데스크톱 앱은 을 사용하여 WINHTTP_NO_CLIENT_CERT_CONTEXT요청을 보냅니다. 자세한 내용은 WinHTTP의 SSL - Win32 앱을 참조하세요.