双密钥加密常见问题解答

对双密钥加密的工作原理有疑问,我们未在其他地方进行介绍? 在此处查看答案。

可以对 DKE 使用哪些Microsoft 365 应用版?

可以使用 DKE 标签通过桌面版本的 Word、Excel、PowerPoint 和 Outlook on Windows 来保护文档。 若要确保使用受支持的 Office 应用版本,请参阅 功能表 和行 双密钥加密 (DKE)

是否可以将双密钥加密与 Microsoft Office 内置敏感度标签配合使用?

可以! 使用 可以将内置敏感度标签与 Office 应用配合使用。 有关信息,请参阅 功能表 和行 双密钥加密 (DKE) 。 虽然目前可以使用信息保护客户端通过双密钥加密保护文档,但此方法将来将弃用。

双密钥加密与 HYOK) 解决方案 (持有自己的密钥有何不同?

双密钥加密使用两个密钥加密数据。 加密密钥由你控制,第二个密钥存储在 Microsoft Azure 中,使你能够将加密数据移动到云。 HYOK 仅使用一个密钥保护内容,并且密钥始终在本地。

双密钥加密文档是否可以在外部共享?

可以与单独租户上的用户共享双密钥加密文档,只要这些用户:

  • 拥有访问双密钥加密服务中的密钥所需的权限。

  • 具有访问 Microsoft Azure 中的密钥所需的权限。

使用 HYOK 保护的文档会发生什么情况?

部署双密钥加密不会影响现有的 HYOK 设置。 但是,我们建议你开始与 HYOK 并行使用双密钥加密。

是否可以在非 Microsoft 空隙环境中运行双密钥加密?

DKE 不支持这些环境,因为该服务需要访问 Microsoft Azure。

我可以在哪里存储双密钥加密文档?

可以将双密钥加密文档存储在本地或云中。 在云中,可以将加密内容移动到 SharePoint Online 并OneDrive for Business。 无法在 Office Web 应用中联机查看加密的文档。

双密钥加密在哪些区域和语言可用? 双密钥加密是否在全球范围内可用?

DKE 标签本地化为与 Microsoft Purview 信息保护 中的其他敏感度标签相同的语言。 双密钥加密在全球范围内可用。

是否可以将非 DKE 标签转换为 DKE 标签?

否。 创建标签后,无法将 DKE 添加到标签。 相反,你必须选择“ 使用双密钥加密 ”,并在创建标签时提供双密钥加密服务的 URL。

如何实现滚动我的 DKE 密钥?

有关滚动 (也称为在 Azure 中存储的密钥) 轮换或重新生成密钥的说明,请参阅 Azure 信息保护租户密钥的操作。 有关为 DKE 服务创建新密钥的信息,请参阅 租户和密钥设置 。 创建密钥时,需要设置名称和 GUID。 然后,如果轮换密钥,则保留具有名称和 GUID 的旧记录,但添加具有相同名称但不同的 GUID 的新记录。 新密钥设置为活动密钥,以便公钥 API 开始返回它进行新加密。 这两个密钥都可用于解密,以便可以解密新内容和旧内容。

为什么无法访问双密钥加密文档?

查看受 DKE 保护的内容的权利要求用户对组织管理的终结点进行身份验证。 如果组织中的用户无法查看受 DKE 保护的内容,请查看 密钥访问设置 配置。

Windows 上的 Office 桌面应用上的 DKE 服务支持哪种相互传输层安全性 (mTLS) ?

  • 在 2402 之前:不支持 mTLS。

  • 2402 之后:应用不支持发送客户端认证。 桌面应用使用 WINHTTP_NO_CLIENT_CERT_CONTEXT发送请求。 有关详细信息,请参阅 WinHTTP - Win32 应用中的 SSL