適用於:Microsoft Purview 雙重金鑰加密、Microsoft Purview、Azure 資訊保護
服務描述: Microsoft Purview
雙密鑰加密 (DKE) 使您能夠保護高度敏感的數據以滿足特殊要求。 DKE 可讓您保持對加密金鑰的控制。 它使用兩個金鑰來保護資料;控制項中的一個金鑰,以及您安全地儲存在 Microsoft Azure 中的第二個金鑰。 您可以使用雙重金鑰加密服務來控制其中一個金鑰。 檢視受雙金鑰加密保護的資料需要存取這兩個金鑰。
DKE 可協助您滿足多項法規和標準的監管要求,例如《通用資料保護規範》 (GDPR) 、HIPAA) (《健康保險流通與責任法案》、GLBA) (《格雷姆-里奇-比利利法案》、俄羅斯的資料本地化法 – 第 242-FZ 號聯邦法、澳洲《1988 年聯邦隱私法》和紐西蘭《1993 年隱私法》。
設定 DKE 服務和金鑰之後,您可以使用 敏感度標籤將保護套用至高度敏感性的內容。
支援的部署案例
DKE 支援多種不同的配置,包括雲端和內部部署。 這些部署有助於確保加密資料無論您將其儲存在何處,都保持不透明。
您可以在內部部署金鑰管理伺服器或雲端) 中,在您選擇的位置裝載用來要求金鑰 (雙金鑰加密服務。 您可以像維護任何其他應用程式一樣維護服務。 雙金鑰加密可讓您控制對雙金鑰加密服務的存取。 您可以將高度敏感的資料儲存在內部部署,或將其移至雲端。 雙密鑰加密使您可以控制將數據和密鑰存儲在同一地理位置。
如需預設雲端式租用戶根金鑰的詳細資訊,請參閱 管理 Azure Rights Management 服務的根金鑰。
您的組織何時應該採用 DKE
DKE 並不適用於每個組織,也不適用於您的所有數據。 假設典型的組織數據環境具有下列結構:
非敏感資料約佔資料) 的 80% 的 (:組織的大部分資料都屬於這一類。 如今,將這些數據移動到雲端沒有任何問題或擔憂。 將此類資料移至雲端可能是有益的,組織可以使用雲端內建的安全性。
敏感 (約15%的資料) :敏感資料需要保護。 該組織希望雲端服務提供者提供安全性,同時提高此類資料的生產力,以便他們能夠滿足合規性法規。 您想要確保使用 Microsoft Purview 資訊保護 正確標示此數據,並受到存取控制和保留和稽核原則的保護。
高度敏感 (約 5% 的資料) :這組資料是組織皇冠上的明珠,需要嚴密保護。 組織不希望任何人有權存取此類資料。 此類別的資料也可以有法規要求,以將金鑰與資料位於相同的地理區域。 金鑰可能也需要由組織嚴格保管。 此內容在您的組織中具有最高的分類 (「絕密」) 並且存取權限僅限於少數人。 高度敏感的數據是惡意用戶所追求的。 這些資料的遺失可能會損害組織的聲譽並破壞與客戶的信任。
如前所述,雙密鑰加密適用於受最嚴格保護要求約束的最敏感數據。 在部署之前,您應該進行盡職調查,以識別此解決方案要涵蓋的正確資料。 在某些情況下,您可能需要縮小範圍並使用其他解決方案。 例如,對於大部分的資料,請考慮使用Microsoft管理的金鑰Microsoft Purview 資訊保護,或 (BYOK) 自帶金鑰。 這些解決方案足以用於不受增強保護和法規要求約束的文件。 此外,這些解決方案使您能夠使用最強大的 Microsoft 365 服務;您無法與 DKE 加密內容搭配使用的服務。 例如:
- 郵件流程規則,包括需要查看附件的反惡意代碼和垃圾郵件
- Microsoft Delve
- 電子文件探索
- 內容搜尋和索引
- Office Web Apps 包括共同撰寫功能
- Copilot
Microsoft 365 服務 (包括 Copilot) 無法存取 DKE 加密資料。 當您在 Office 中使用 DKE 加密資料時,Copilot 仍然無法存取資料,而且當您使用 DKE 加密資料時,您無法在應用程式中使用 Copilot。
未透過 Microsoft 資訊保護 SDK 與 DKE 整合的外部應用程式或服務無法對加密資料執行動作。 Microsoft 資訊保護 SDK 1.7+ 支援雙金鑰加密。 與我們的 SDK 整合的應用程式可以在足夠的權限和整合的情況下推理這些資料。
當您的 DKE 加密資料在 Office 應用程式中使用時,其他 Microsoft 365 服務可能會存取它,視您的 Office 版本而定:
在最新版本的 Office 中,Microsoft 365 服務也無法存取正在使用的 DKE 加密資料。 由於此變更與敏感度標籤的個別隱私權控制同時推出,以防止將標記的內容傳送至連線體驗進行分析,因此您可以使用 功能資料表 和 防止分析內容的連線體驗資料列來識別最低 Office 版本。
在舊版 Office 中,除非您使用原則設定來關閉分析內容的連線體驗,否則 Microsoft 365 服務可以存取使用中的 DKE 加密資料。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制。
使用Microsoft Purview 資訊保護功能 (分類和標記) 來保護大部分敏感資料,並僅將 DKE 用於關鍵任務資料。 雙金鑰加密與金融服務和醫療保健等高度監管行業的敏感資料相關。
如果您的組織有下列任何需求,您可以使用 DKE 來協助保護您的內容:
- 您有法規要求在地理界限內保留金鑰。
- 您為資料加密和解密而持有的所有金鑰都維護在您的資料中心。
DKE 加密工作流程
本節將工作流程分成不同的步驟,以說明如何使用兩個金鑰來保護 Office 文件。
第 1 步:引導
Microsoft Office 用戶端會執行啟動設定工作,並將要求和資訊傳送至 Azure 資訊保護加密服務。 此過程也稱為引導。 工作包括使用 Microsoft Entra ID 授權使用者、下載憑證和範本等等。 啟動程序工作是首次連線和啟動工作,可讓使用者存取 Azure Rights Management 加密原則。
步驟 2:收集並快取 Azure Rights Management 公開金鑰
Office 應用程式會根據使用 Microsoft Entra ID 的授權使用者,從加密服務中的 Azure 金鑰保存庫擷取公開金鑰。 收集之後,用戶端預設會快取金鑰 30 天。 快取之後,用戶端不需要再次啟動至 Azure Rights Management 服務,直到金鑰到期為止。 身為系統管理員,您可以為 Azure Rights Management 服務設定不同的快取期間。 您需要為此金鑰設定快取期間,或接受 30 天的預設值。 如果沒有快取期間,離線發佈就無法運作。
步驟 3:請求 DKE 公鑰
Office 用戶端會根據使用 Microsoft Entra ID 的授權使用者,向雙重金鑰加密服務要求您的其他公開金鑰。
步驟 4:收集並快取 DKE 金鑰
雙重金鑰加密服務會將此公開金鑰傳送至 Office 用戶端。 用戶端會在裝置中快取金鑰,只要您設定金鑰即可。 與 Azure 的金鑰不同,
您不需要為雙重金鑰加密服務所裝載的金鑰設定快取期間。
如果您確實想要設定快取期間,可以在部署雙金鑰加密服務時或部署之後進行設定。
第 5 步:使用 DKE 金鑰保護文件
Microsoft Office 用戶端會使用從雙重金鑰加密服務擷取的公開金鑰來加密中繼資料的部分,以 控制內容的存取 。
步驟 6:使用 Azure 金鑰保護文件
Microsoft Office 用戶端會使用 Azure 的公開金鑰來加密 文件中繼資料的已加密部分 。
資料現在受到兩個金鑰的保護。
DKE 的系統和授權需求
本節詳細說明您必須先符合的伺服器和用戶端系統及組態需求,才能在環境中成功部署 DKE。
DKE 的授權要求
雙金鑰加密隨附於 Microsoft 365 E5。 如果您沒有 Microsoft 365 E5 授權,您可以註冊試用版。 如需這些授權的詳細資訊,請參閱 Microsoft 365 安全性 & 合規性授權指引。
DKE 需要 Azure Rights Management 服務
DKE 可與敏感度標籤搭配使用,而且需要使用 Microsoft Purview 資訊保護 的權限管理進行加密。
Office 應用程式的 DKE 標籤需求
使用 Office 應用程式內建的敏感度標籤,以支援 Word、Excel、PowerPoint 和 Outlook 中的 DKE。 如需支援的版本,請參閱 功能表格 和 DKE) (雙金鑰加密 列。
用戶端電腦上的 DKE
使用者透過這些介面套用 DKE 敏感度標籤。
Windows Office 應用程式中的敏感度標籤
Windows 檔案總管中的 Microsoft Purview 資訊保護檔案檔案總管 檔案標示器
Microsoft Purview 資訊保護 PowerShell
Microsoft Purview 資訊保護掃描器
在您要保護和取用受保護文件的每部用戶端電腦上安裝必要條件。
儲存和檢視受 DKE 保護內容的支援環境
支援的應用程式。 Windows 上的 Microsoft 365 Apps 企業版用戶端,包括 Word、Excel、PowerPoint 和 Outlook。
在線內容支持。 您可以在 SharePoint 和 OneDrive 中線上儲存受雙金鑰加密保護的文件和檔案。 在上傳至這些位置之前,您必須先由支援的應用程式使用 DKE 來標記和保護文件和檔案。 您可以透過電子郵件共享加密內容,但無法在線上檢視加密文件和檔案。 相反地,您必須在本機電腦上使用支援的桌面應用程式和用戶端來檢視受保護的內容。
在 Office 應用程式外部標記案例。 使用滑鼠右鍵按檔案總管選項中的 Microsoft Purview 資訊保護 檔案標記器,Microsoft Purview 資訊保護 PowerShell 標籤 Cmdlet 或 Microsoft Purview 資訊保護掃描器。
在 Office 應用程式外部檢視受 DKE 保護的內容。 您可以使用 Microsoft Purview 資訊保護檢視器來取用受 DKE 保護的電子郵件和檔,例如 PDF。
僅加密和不轉送案例。 DKE 不支援僅加密和不轉送。