二重キー暗号化 FAQ

DKE ラベルを使用すると、デスクトップ バージョンの Word、Excel、PowerPoint、Outlook on Windows を使用してドキュメントを保護できます。 サポートされているバージョンの Office アプリを使用していることを確認するには、 機能テーブル と行 Double Key Encryption (DKE) を参照してください。

はい。 を使用すると、Office アプリで組み込みの秘密度ラベル付けを使用できます。 詳細については、 機能テーブル と行 Double Key Encryption (DKE) を参照してください。 情報保護クライアントを使用して、今のところ、二重キー暗号化を使用してドキュメントを保護できますが、この方法は今後非推奨になります。

Double Key Encryption は、2 つのキーを使用してデータを暗号化します。 暗号化キーが制御下にあり、2 つ目のキーは Microsoft Azure に格納されているため、暗号化されたデータをクラウドに移動できます。 HYOK は 1 つのキーのみでコンテンツを保護し、キーは常にオンプレミスです。

Double Key Encrypted ドキュメントは、次のユーザーに限り、別のテナントのユーザーと共有できます。

• Double Key Encryption サービスでキーにアクセスするために必要なアクセス許可を持っている。

• Microsoft Azure でキーにアクセスするために必要なアクセス許可を持っている。

ダブル キー暗号化をデプロイしても、既存の HYOK セットアップには影響しません。 ただし、HYOK と並行して二重キー暗号化の使用を開始することをお勧めします。

DKE では、サービスに Microsoft Azure へのアクセスが必要なため、これらの環境はサポートされていません。

ダブル キー暗号化ドキュメントは、オンプレミスまたはクラウドに格納できます。 クラウドでは、暗号化されたコンテンツを SharePoint Online とOneDrive for Businessに移動できます。 Office Web Appsで暗号化されたドキュメントをオンラインで表示することはできません。

DKE ラベルは、Microsoft Purview 情報保護の他の秘密度ラベルと同じ言語にローカライズされます。 ダブル キー暗号化は世界中で利用できます。

その必要はありません。 DKE を作成した後でラベルに追加することはできません。 代わりに、[ 二重キー暗号化の使用 ] を選択し、ラベルを作成するときにダブル キー暗号化サービスの URL を指定する必要があります。

Azure に格納するキーのローリング (ローテーションまたはキー再生成とも呼ばれます) の手順については、「Azure Information Protection テナント キーの操作」を参照してください。 DKE サービスの新しいキーの作成については、「 テナントと キーの設定」を参照してください。 キーを作成するときは、名前と GUID を設定します。 次に、キーをローテーションする場合は、名前と GUID を使用して古いレコードを保持しますが、同じ名前で GUID が異なる新しいレコードを追加します。 新しいキーはアクティブとして設定され、公開キー API が新しい暗号化のためにそれを返し始めます。 新しいコンテンツと古いコンテンツを復号化できるように、両方のキーを復号化できます。

DKE で保護されたコンテンツを表示する権限を持つユーザーは、organizationによって管理されているエンドポイントに対して認証する必要があります。 organizationのユーザーが DKE で保護されたコンテンツを表示できない場合は、キー アクセス設定の構成を確認してください。

• 2402 より前: mTLS のサポートなし。

• 2402 以降: アプリはクライアント認定の送信をサポートしていません。 代わりに、デスクトップ アプリは を使用して要求を WINHTTP_NO_CLIENT_CERT_CONTEXT送信します。 詳細については、「 WinHTTP - Win32 アプリの SSL」を参照してください。