Verschlüsselung mit Doppelschlüssel

Gilt für: Microsoft Purview Double Key Encryption, Microsoft Purview, Azure Information Protection

Anweisungen für: Azure Information Protection-Client für einheitliche Bezeichnungen für Windows

Dienstbeschreibung für: Microsoft Purview

Double Key Encryption (DKE) verwendet zwei Schlüssel zusammen, um auf geschützte Inhalte zuzugreifen. Microsoft speichert einen Schlüssel in Microsoft Azure, und Sie haben den anderen Schlüssel. Sie behalten die vollständige Kontrolle über einen Ihrer Schlüssel, indem Sie den Double Key Encryption-Dienst verwenden. Sie wenden den Schutz mithilfe des Azure Information Protection-Clients für einheitliche Bezeichnungen auf Ihre hochsensiblen Inhalte an.

Die Double Key Encryption unterstützt sowohl cloudbasierte als auch lokale Bereitstellungen. Diese Bereitstellungen tragen dazu bei, sicherzustellen, dass verschlüsselte Daten unabhängig davon, wo Sie die geschützten Daten speichern, undurchsichtig bleiben.

Weitere Informationen zu den cloudbasierten Standardmandantenstammschlüsseln finden Sie unter Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die Testversion von 90-tägigen Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Wann Ihre Organisation DKE einführen sollte

Die Double Key Encryption ist für Ihre vertraulichsten Daten gedacht, die den strengsten Schutzanforderungen unterliegen. DKE ist nicht für alle Daten vorgesehen. Im Allgemeinen verwenden Sie die Doppelschlüsselverschlüsselung, um nur einen kleinen Teil Ihrer Gesamtdaten zu schützen. Sie sollten die richtigen Daten ermitteln, die mit dieser Lösung abgedeckt werden sollen, bevor Sie die Bereitstellung durchführen. In einigen Fällen müssen Sie möglicherweise Ihren Bereich einschränken und andere Lösungen für die meisten Ihrer Daten verwenden, z. B. Microsoft Purview Information Protection mit von Microsoft verwalteten Schlüsseln oder BYOK. Diese Lösungen sind ausreichend für Dokumente, die keinem erweiterten Schutz und gesetzlichen Anforderungen unterliegen. Darüber hinaus können Sie mit diesen Lösungen die leistungsstärksten Office 365-Dienste verwenden. Dienste, die Sie nicht mit DKE-verschlüsselten Inhalten verwenden können. Beispiel:

  • Transportregeln, einschließlich Antischadsoftware und Spam, die Einblick in die Anlage erfordern
  • Microsoft Delve
  • eDiscovery
  • Inhaltssuche und -indizierung
  • Office Web-Apps einschließlich Funktionen für die gemeinsame Dokumenterstellung

Externe Anwendungen oder Dienste, die nicht über das Microsoft Information Protection SDK (MIP) in DKE integriert sind, können keine Aktionen für die verschlüsselten Daten ausführen.

Das Microsoft Information Protection SDK 1.7 und höher unterstützt die Verschlüsselung mit doppeltem Schlüssel. Anwendungen, die in unser SDK integriert werden, können über diese Daten mit ausreichenden Berechtigungen und Integrationen verfügen.

Verwenden Sie Microsoft Purview Information Protection Funktionen (Klassifizierung und Bezeichnung), um die meisten Ihrer vertraulichen Daten zu schützen, und verwenden Sie DKE nur für Ihre unternehmenskritischen Daten. Double Key Encryption ist für vertrauliche Daten in stark regulierten Branchen wie Finanzdienstleistungen und Gesundheitswesen relevant.

Wenn Ihre Organisationen eine der folgenden Anforderungen erfüllen, können Sie DKE verwenden, um Ihre Inhalte zu schützen:

  • Sie möchten sicherstellen, dass nur Sie geschützte Inhalte unter allen Umständen entschlüsseln können.
  • Sie möchten nicht, dass Microsoft selbst Zugriff auf geschützte Daten hat.
  • Sie haben gesetzliche Anforderungen, um Schlüssel innerhalb einer geografischen Grenze zu halten. Alle Schlüssel, die Sie für die Datenverschlüsselung und -entschlüsselung besitzen, werden in Ihrem Rechenzentrum verwaltet.

System- und Lizenzierungsanforderungen für DKE

Doppelschlüsselverschlüsselung wird mit Microsoft 365 E5. Wenn Sie nicht über eine Microsoft 365 E5-Lizenz verfügen, können Sie sich für eine Testversion registrieren. Weitere Informationen zu diesen Lizenzen finden Sie unter Microsoft 365-Lizenzierungsleitfaden für Sicherheitskonformität&.

Azure Information Protection. DKE funktioniert mit Vertraulichkeitsbezeichnungen und erfordert Azure Information Protection.

DKE-Vertraulichkeitsbezeichnungen werden Endbenutzern über die Vertraulichkeitsschaltfläche im AIP Unified Labeling Client in Office Desktop Apps zur Verfügung gestellt. Installieren Sie diese erforderlichen Komponenten auf jedem Clientcomputer, auf dem Sie geschützte Dokumente schützen und nutzen möchten.

Microsoft Office Apps for Enterprise Version 2009 oder höher (Desktopversionen von Word, Excel, PowerPoint und Outlook) unter Windows.

Azure Information Protection Unified Labeling Client, Version 2.14.93.0 oder höher. Laden Sie den Unified Labeling-Client aus dem Microsoft Download Center herunter, und installieren Sie es.

Unterstützte Umgebungen zum Speichern und Anzeigen von DKE-geschützten Inhalten

Unterstützte Anwendungen. Microsoft 365 Apps for Enterprise Clients unter Windows, einschließlich Word, Excel, PowerPoint und Outlook.

Unterstützung von Onlineinhalten. Sie können Dokumente und Dateien, die mit der Doppelschlüsselverschlüsselung geschützt sind, online in Microsoft SharePoint und OneDrive for Business speichern. Sie müssen Dokumente und Dateien mit DKE nach unterstützten Anwendungen bezeichnen und schützen, bevor Sie an diese Speicherorte hochladen. Sie können verschlüsselte Inhalte per E-Mail freigeben, verschlüsselte Dokumente und Dateien jedoch nicht online anzeigen. Stattdessen müssen Sie geschützte Inhalte mithilfe der unterstützten Desktopanwendungen und Clients auf Ihrem lokalen Computer anzeigen.

Nur Outlook-Verschlüsselung und keine Weiterleitung von Szenarien Wenn Sie DKE für unterstützte Szenarien konfigurieren, wird eine Warnung in der Bezeichnungskonfigurationsumgebung generiert. Diese nicht unterstützten Szenarien enthalten keine Warnungen in der Bezeichnungskonfiguration, wenn nur verschlüsselungs- und nicht weitergeleitet werden.

Übersicht über die Bereitstellung von DKE

Führen Sie diese allgemeinen Schritte aus, um DKE einzurichten. Nachdem Sie diese Schritte ausgeführt haben, können Ihre Endbenutzer Ihre hochsensiblen Daten mit der Doppelschlüsselverschlüsselung schützen.

  1. Stellen Sie den DKE-Dienst wie in diesem Artikel beschrieben bereit.

  2. Erstellen Sie eine Bezeichnung mit Doppelschlüsselverschlüsselung. Navigieren Sie im Microsoft Purview-Complianceportal zu Informationsschutz, und erstellen Sie eine neue Bezeichnung mit Doppelschlüsselverschlüsselung. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Inhalte mithilfe von Vertraulichkeitsbezeichnungen zum Anwenden der Verschlüsselung.

  3. Verwenden Sie Doppelschlüsselverschlüsselungsbezeichnungen. Schützen Sie Daten, indem Sie im Menüband Vertraulichkeit in Microsoft Office die Bezeichnung Double Key Encrypted auswählen.

Es gibt mehrere Möglichkeiten, einige der Schritte zum Bereitstellen der Doppelschlüsselverschlüsselung auszuführen. Dieser Artikel enthält ausführliche Anweisungen, damit weniger erfahrene Administratoren den Dienst erfolgreich bereitstellen können. Wenn Sie damit vertraut sind, können Sie ihre eigenen Methoden verwenden.

Bereitstellen von DKE

In diesem Artikel und im Bereitstellungsvideo wird Azure als Bereitstellungsziel für den DKE-Dienst verwendet. Wenn Sie die Bereitstellung an einem anderen Standort durchführen, müssen Sie Ihre eigenen Werte angeben.

Führen Sie diese allgemeinen Schritte aus, um die Doppelschlüsselverschlüsselung für Ihre Organisation einzurichten.

  1. Installieren der erforderlichen Softwarekomponenten für den DKE-Dienst
  2. Klonen des GitHub-Repositorys "Double Key Encryption"
  3. Ändern von Anwendungseinstellungen
  4. Generieren von Testschlüsseln
  5. Erstellen des Projekts
  6. Bereitstellen des DKE-Diensts und Veröffentlichen des Schlüsselspeichers
  7. Überprüfen Ihrer Bereitstellung
  8. Registrieren Ihres Schlüsselspeichers
  9. Erstellen von Vertraulichkeitsbezeichnungen mithilfe von DKE
  10. Aktivieren von DKE in Ihrem Client
  11. Migrieren geschützter Dateien von HYOK-Bezeichnungen zu DKE-Bezeichnungen

Wenn Sie fertig sind, können Sie Dokumente und Dateien mithilfe von DKE verschlüsseln. Weitere Informationen finden Sie unter Anwenden von Vertraulichkeitsbezeichnungen auf Ihre Dateien und E-Mails in Office.

Installieren der erforderlichen Softwarekomponenten für den DKE-Dienst

Installieren Sie diese erforderlichen Komponenten auf dem Computer, auf dem Sie den DKE-Dienst installieren möchten.

.NET Core 3.1 SDK. Laden Sie das SDK unter .NET Core 3.1 herunterladen herunter, und installieren Sie es.

Visual Studio Code. Laden Sie Visual Studio Code von herunter https://code.visualstudio.com/. Führen Sie nach der Installation Visual Studio Code aus, und wählen Sie Erweiterungen anzeigen> aus. Installieren Sie diese Erweiterungen.

  • C# für Visual Studio Code

  • NuGet-Paket-Manager

Git-Ressourcen. Laden Sie eine der folgenden Optionen herunter, und installieren Sie sie.

OpensslOpenSSL muss installiert sein, um Testschlüssel nach der Bereitstellung von DKE zu generieren. Stellen Sie sicher, dass Sie ihn ordnungsgemäß über den Pfad Ihrer Umgebungsvariablen aufrufen. Weitere Informationen finden Sie beispielsweise unter "Hinzufügen des Installationsverzeichnisses zu PATH" unter https://www.osradar.com/install-openssl-windows/ .

Klonen des DKE-GitHub-Repositorys

Microsoft stellt die DKE-Quelldateien in einem GitHub-Repository bereit. Sie klonen das Repository, um das Projekt lokal für die Verwendung durch Ihre Organisation zu erstellen. Das DKE-GitHub-Repository befindet sich unter https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Die folgenden Anweisungen richten sich an unerfahrene Git- oder Visual Studio Code-Benutzer:

  1. Navigieren Sie in Ihrem Browser zu : https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Wählen Sie auf der rechten Seite des Bildschirms Code aus. Ihre Version der Benutzeroberfläche zeigt möglicherweise die Schaltfläche Klonen oder Herunterladen an. Wählen Sie dann in der angezeigten Dropdownliste das Kopiersymbol aus, um die URL in die Zwischenablage zu kopieren.

    Beispiel:

    Klonen Sie das Repository des Double Key Encryption-Diensts von GitHub.

  3. Wählen Sie in Visual Studio Code die Option Befehlspalette anzeigen> und dann Git: Klonen aus. Um zur Option in der Liste zu springen git: clone , beginnen Sie mit der Eingabe, um die Einträge zu filtern, und wählen Sie sie dann in der Dropdownliste aus. Beispiel:

    Visual Studio Code GIT:Clone-Option.

  4. Fügen Sie in das Textfeld die URL ein, die Sie aus Git kopiert haben, und wählen Sie Von GitHub klonen aus.

  5. Navigieren Sie im angezeigten Dialogfeld Ordner auswählen zu einem Speicherort für das Repository, und wählen Sie diesen aus. Wählen Sie an der Eingabeaufforderung Öffnen aus.

    Das Repository wird in Visual Studio Code geöffnet und zeigt unten links den aktuellen Git-Branch an. Beispiel: The branch should be main. Beispiel:

    Screenshot des DKE-Repositorys in Visual Studio Code mit dem Hauptbranch

  6. Wenn Sie sich nicht im Mainbranch befinden, müssen Sie ihn auswählen. Wählen Sie in Visual Studio Code den Branch und dann main aus der angezeigten Liste der Branches aus.

    Wichtig

    Wenn Sie den Mainbranch auswählen, wird sichergestellt, dass Sie über die richtigen Dateien zum Erstellen des Projekts verfügen. Wenn Sie nicht den richtigen Branch auswählen, schlägt Ihre Bereitstellung fehl.

Sie haben ihr DKE-Quellrepository jetzt lokal eingerichtet. Ändern Sie als Nächstes die Anwendungseinstellungen für Ihre Organisation.

Ändern von Anwendungseinstellungen

Zum Bereitstellen des DKE-Diensts müssen Sie die folgenden Arten von Anwendungseinstellungen ändern:

Sie ändern Anwendungseinstellungen in der Datei appsettings.json. Diese Datei befindet sich im Repository DoubleKeyEncryptionService, das Sie lokal unter DoubleKeyEncryptionService\src\customer-key-store geklont haben. In Visual Studio Code können Sie beispielsweise zur Datei navigieren, wie in der folgenden Abbildung dargestellt.

Suchen der Datei appsettings.json für DKE.

Schlüsselzugriffseinstellungen

Wählen Sie aus, ob die E-Mail- oder Rollenautorisierung verwendet werden soll. DKE unterstützt jeweils nur eine dieser Authentifizierungsmethoden.

  • Email Autorisierung. Ermöglicht Es Ihrer Organisation, den Zugriff auf Schlüssel nur basierend auf E-Mail-Adressen zu autorisieren.

  • Rollenautorisierung. Ermöglicht Es Ihrer Organisation, den Zugriff auf Schlüssel basierend auf Active Directory-Gruppen zu autorisieren, und erfordert, dass der Webdienst LDAP abfragen kann.

So legen Sie Schlüsselzugriffseinstellungen für DKE mithilfe der E-Mail-Autorisierung fest
  1. Öffnen Sie die Datei appsettings.json , und suchen Sie die AuthorizedEmailAddress Einstellung.

  2. Fügen Sie die E-Mail-Adresse oder Adressen hinzu, die Sie autorisieren möchten. Trennen Sie mehrere E-Mail-Adressen durch doppelte Anführungszeichen und Kommas. Beispiel:

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Suchen Sie die LDAPPath Einstellung, und entfernen Sie den Text If you use role authorization (AuthorizedRoles) then this is the LDAP path. zwischen den doppelten Anführungszeichen. Behalten Sie die doppelten Anführungszeichen bei. Wenn Sie fertig sind, sollte die Einstellung wie folgt aussehen.

    "LDAPPath": ""
    
  4. Suchen Sie die AuthorizedRoles Einstellung, und löschen Sie die gesamte Zeile.

Diese Abbildung zeigt die Datei appsettings.json , die für die E-Mail-Autorisierung ordnungsgemäß formatiert ist.

Die Datei appsettings.json mit der E-Mail-Autorisierungsmethode.

So legen Sie Schlüsselzugriffseinstellungen für DKE mithilfe der Rollenautorisierung fest
  1. Öffnen Sie die Datei appsettings.json , und suchen Sie die AuthorizedRoles Einstellung.

  2. Fügen Sie die Active Directory-Gruppennamen hinzu, die Sie autorisieren möchten. Trennen Sie mehrere Gruppennamen durch doppelte Anführungszeichen und Kommas. Beispiel:

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Suchen Sie die Einstellung, LDAPPath und fügen Sie die Active Directory-Domäne hinzu. Beispiel:

    "LDAPPath": "contoso.com"
    
  4. Suchen Sie die AuthorizedEmailAddress Einstellung, und löschen Sie die gesamte Zeile.

Diese Abbildung zeigt die Datei appsettings.json , die für die Rollenautorisierung ordnungsgemäß formatiert ist.

Datei

Mandanten- und Schlüsseleinstellungen

DKE-Mandanten- und Schlüsseleinstellungen befinden sich in der Datei appsettings.json .

So konfigurieren Sie Mandanten- und Schlüsseleinstellungen für DKE
  1. Öffnen Sie die Datei appsettings.json .

  2. Suchen Sie die ValidIssuers Einstellung, und ersetzen Sie durch <tenantid> Ihre Mandanten-ID. Sie können Ihre Mandanten-ID ermitteln, indem Sie zum Azure-Portal wechseln und die Mandanteneigenschaften anzeigen. Beispiel:

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Hinweis

Wenn Sie den externen B2B-Zugriff auf Ihren Schlüsselspeicher aktivieren möchten, müssen Sie auch diese externen Mandanten in die Liste der gültigen Aussteller aufnehmen.

Suchen Sie nach .JwtAudience Ersetzen Sie durch <yourhostname> den Hostnamen des Computers, auf dem der DKE-Dienst ausgeführt wird. Beispiel: "https://dkeservice.contoso.com"

Wichtig

Der Wert für JwtAudience muss genau mit dem Namen Ihres Hosts übereinstimmen.

  • TestKeys:Name. Geben Sie einen Namen für Ihren Schlüssel ein. Beispiel: TestKey1
  • TestKeys:Id. Erstellen Sie eine GUID, und geben Sie sie als TestKeys:ID Wert ein. Beispiel: DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Sie können eine Website wie den Online-GUID-Generator verwenden, um nach dem Zufallsprinzip eine GUID zu generieren.

Diese Abbildung zeigt das richtige Format für Mandanten- und Schlüsseleinstellungen in appsettings.json. LDAPPath ist für die Rollenautorisierung konfiguriert.

Zeigt die richtigen Mandanten- und Schlüsseleinstellungen für DKE in der Datei appsettings.json an.

Generieren von Testschlüsseln

Nachdem Sie Ihre Anwendungseinstellungen definiert haben, können Sie öffentliche und private Testschlüssel generieren.

So generieren Sie Schlüssel:

  1. Führen Sie im Windows-Startmenü die OpenSSL-Eingabeaufforderung aus.

  2. Wechseln Sie zu dem Ordner, in dem Sie die Testschlüssel speichern möchten. Die Dateien, die Sie durch Ausführen der Schritte in dieser Aufgabe erstellen, werden im selben Ordner gespeichert.

  3. Generieren Sie den neuen Testschlüssel.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Generieren Sie den privaten Schlüssel.

    Wenn Sie OpenSSL Version 3 oder höher installiert haben, führen Sie den folgenden Befehl aus:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Führen Sie andernfalls den folgenden Befehl aus:

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Generieren Sie den öffentlichen Schlüssel.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. Öffnen Sie in einem Text-Editor pubkeyonly.pem. Kopieren Sie den gesamten Inhalt der Datei pubkeyonly.pem mit Ausnahme der ersten und letzten Zeilen in den PublicPem Abschnitt der Datei appsettings.json .

  3. Öffnen Sie in einem Text-Editor privkeynopass.pem. Kopieren Sie den gesamten Inhalt der Datei privkeynopass.pem mit Ausnahme der ersten und letzten Zeilen in den PrivatePem Abschnitt der Datei appsettings.json .

  4. Entfernen Sie alle Leerzeichen und Zeilenzeilen in den PublicPem Abschnitten und PrivatePem .

    Wichtig

    Wenn Sie diesen Inhalt kopieren, löschen Sie keine der PEM-Daten.

  5. Navigieren Sie in Visual Studio Code zur Datei Startup.cs . Diese Datei befindet sich im Repository DoubleKeyEncryptionService, das Sie lokal unter DoubleKeyEncryptionService\src\customer-key-store geklont haben.

  6. Suchen Sie die folgenden Zeilen:

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Ersetzen Sie diese Zeilen durch den folgenden Text:

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    Die Endergebnisse sollten in etwa wie folgt aussehen.

    startup.cs-Datei für die öffentliche Vorschau.

Jetzt können Sie Ihr DKE-Projekt erstellen.

Erstellen des Projekts

Verwenden Sie die folgenden Anweisungen, um das DKE-Projekt lokal zu erstellen:

  1. Wählen Sie in Visual Studio Code im DKE-Dienstrepository Befehlspalette anzeigen> aus, und geben Sie dann build an der Eingabeaufforderung ein.

  2. Wählen Sie in der Liste Aufgaben: Buildtask ausführen aus.

    Wenn keine Buildtasks gefunden wurden, wählen Sie Buildtask konfigurieren aus, und erstellen Sie wie folgt eine Aufgabe für .NET Core.

    Konfigurieren Sie den fehlenden Buildtask für .NET.

    1. Wählen Sie Tasks.json aus Vorlage erstellen aus.

      Erstellen Sie die Datei tasks.json aus der Vorlage für DKE.

    2. Wählen Sie in der Liste der Vorlagentypen .NET Core aus.

      Wählen Sie die richtige Vorlage für DKE aus.

    3. Suchen Sie im Buildabschnitt den Pfad zur Datei customerkeystore.csproj . Wenn sie nicht vorhanden ist, fügen Sie die folgende Zeile hinzu:

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Führen Sie den Build erneut aus.

  3. Vergewissern Sie sich, dass das Ausgabefenster keine roten Fehler enthält.

    Wenn rote Fehler auftreten, überprüfen Sie die Konsolenausgabe. Stellen Sie sicher, dass Sie alle vorherigen Schritte ordnungsgemäß ausgeführt haben und die richtigen Buildversionen vorhanden sind.

Die Einrichtung ist jetzt abgeschlossen. Stellen Sie vor dem Veröffentlichen des Keystores in appsettings.json für die Einstellung JwtAudience sicher, dass der Wert für Hostname genau mit Ihrem App Service Hostnamen übereinstimmt.

Bereitstellen des DKE-Diensts und Veröffentlichen des Schlüsselspeichers

Stellen Sie für Produktionsbereitstellungen den Dienst entweder in einer Drittanbietercloud bereit oder veröffentlichen Sie sie in einem lokalen System.

Möglicherweise bevorzugen Sie andere Methoden zum Bereitstellen Ihrer Schlüssel. Wählen Sie die Methode aus, die für Ihre Organisation am besten geeignet ist.

Bei Pilotbereitstellungen können Sie die Bereitstellung in Azure durchführen und sofort beginnen.

So erstellen Sie eine Azure-Web-App-Instanz zum Hosten Ihrer DKE-Bereitstellung

Um den Schlüsselspeicher zu veröffentlichen, erstellen Sie eine Azure App Service-Instanz zum Hosten Ihrer DKE-Bereitstellung. Als Nächstes veröffentlichen Sie Ihre generierten Schlüssel in Azure.

  1. Melden Sie sich in Ihrem Browser beim Microsoft Azure-Portal an, und wechseln Sie zu App Services>Hinzufügen.

  2. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus, und definieren Sie Ihre Instanzdetails.

    • Geben Sie den Hostnamen des Computers ein, auf dem Sie den DKE-Dienst installieren möchten. Stellen Sie sicher, dass es sich um denselben Namen handelt wie für die JwtAudience-Einstellung in der Datei appsettings.json . Der Wert, den Sie für den Namen angeben, ist auch WebAppInstanceName.

    • Wählen Sie unter Veröffentlichen die Option Code und für Runtimestapeldie Option .NET Core 3.1 aus.

    Beispiel:

    Fügen Sie Ihre App Service hinzu.

  3. Wählen Sie unten auf der Seite Überprüfen + erstellen und dann Hinzufügen aus.

  4. Führen Sie einen der folgenden Schritte aus, um die generierten Schlüssel zu veröffentlichen:

Veröffentlichen über ZipDeployUI

  1. Gehen Sie zu https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Beispiel: https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. Wechseln Sie in der Codebasis für den Schlüsselspeicher zum Ordner customer-key-store\src\customer-key-store , und überprüfen Sie, ob dieser Ordner die Datei customerkeystore.csproj enthält.

  3. Ausführen: dotnet publish

    Im Ausgabefenster wird das Verzeichnis angezeigt, in dem die Veröffentlichung bereitgestellt wurde.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Senden Sie alle Dateien im Veröffentlichungsverzeichnis an eine .zip Datei. Stellen Sie beim Erstellen der .zip-Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der .zip Datei befinden.

  5. Ziehen Sie die .zip Datei, die Sie erstellen, auf die ZipDeployUI-Website, die Sie oben geöffnet haben. Beispiel: https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE wird bereitgestellt, und Sie können zu den Testschlüsseln navigieren, die Sie erstellt haben. Fahren Sie weiter unten mit Überprüfen Ihrer Bereitstellung fort.

Veröffentlichen über FTP

  1. Stellen Sie eine Verbindung mit dem oben erstellten App Service her.

    Navigieren Sie in Ihrem Browser zu Azure-Portal>App Service>Ftp-Dashboard> fürdie manuelle Bereitstellung>des Bereitstellungscenters>.

  2. Kopieren Sie die angezeigten Verbindungszeichenfolgen in eine lokale Datei. Sie verwenden diese Zeichenfolgen, um eine Verbindung mit dem Web-App Service herzustellen und Dateien über FTP hochzuladen.

    Beispiel:

    Kopieren Sie Verbindungszeichenfolgen aus dem FTP-Dashboard.

  3. Navigieren Sie in der Codebasis für den Schlüsselspeicher zum Verzeichnis customer-key-store\src\customer-key-store.

  4. Vergewissern Sie sich, dass dieses Verzeichnis die Datei customerkeystore.csproj enthält.

  5. Ausführen: dotnet publish

    Die Ausgabe enthält das Verzeichnis, in dem die Veröffentlichung bereitgestellt wurde.

    Beispiel: customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Senden Sie alle Dateien im Veröffentlichungsverzeichnis an eine ZIP-Datei. Stellen Sie beim Erstellen der .zip-Datei sicher, dass sich alle Dateien im Verzeichnis auf der Stammebene der .zip Datei befinden.

  7. Verwenden Sie von Ihrem FTP-Client die von Ihnen kopierten Verbindungsinformationen, um eine Verbindung mit Ihrem App Service herzustellen. Laden Sie die .zip Datei, die Sie im vorherigen Schritt erstellt haben, in das Stammverzeichnis Ihrer Web-App hoch.

DKE wird bereitgestellt, und Sie können zu den Testschlüsseln navigieren, die Sie erstellt haben. Überprüfen Sie als Nächstes Ihre Bereitstellung.

Überprüfen Ihrer Bereitstellung

Überprüfen Sie nach der Bereitstellung von DKE mit einer der oben beschriebenen Methoden die Bereitstellung und die Schlüsselspeichereinstellungen.

Führen Sie Folgendes aus:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Beispiel:

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Stellen Sie sicher, dass in der Ausgabe keine Fehler angezeigt werden. Wenn Sie bereit sind, registrieren Sie Ihren Schlüsselspeicher.

Beim Schlüsselnamen wird die Groß-/Kleinschreibung beachtet. Geben Sie den Schlüsselnamen so ein, wie er in der Datei appsettings.json angezeigt wird.

Registrieren Ihres Schlüsselspeichers

Mit den folgenden Schritten können Sie Ihren DKE-Dienst registrieren. Die Registrierung Ihres DKE-Diensts ist der letzte Schritt bei der Bereitstellung von DKE, bevor Sie mit dem Erstellen von Bezeichnungen beginnen können.

So registrieren Sie den DKE-Dienst:

  1. Öffnen Sie in Ihrem Browser die Microsoft Azure-Portal, und wechseln Sie zu AlleDienstidentitäts-App-Registrierungen>>.

  2. Wählen Sie Neue Registrierung aus, und geben Sie einen aussagekräftigen Namen ein.

  3. Wählen Sie einen Kontotyp aus den angezeigten Optionen aus.

    Beispiel:

    Neue App-Registrierung.

  4. Wählen Sie unten auf der Seite Registrieren aus, um die neue App-Registrierung zu erstellen.

  5. Wählen Sie in Ihrer neuen App-Registrierung im linken Bereich unter Verwalten die Option Authentifizierung aus.

  6. Wählen Sie Plattform hinzufügen aus.

  7. Wählen Sie im Popupfenster Plattformen konfigurierendie Option Web aus.

  8. Geben Sie unter Umleitungs-URIs den URI Ihres Verschlüsselungsdiensts mit doppeltem Schlüssel ein. Geben Sie die App Service-URL ein, einschließlich Hostname und Domäne.

    Beispiel: https://mydkeservicetest.com

    • Die eingegebene URL muss mit dem Hostnamen übereinstimmen, in dem Ihr DKE-Dienst bereitgestellt wird.
    • Die Domäne muss eine überprüfte Domäne sein.
    • In allen Fällen muss das Schema https sein.

    Stellen Sie sicher, dass der Hostname genau Mit Ihrem App Service Hostnamen übereinstimmt.

  9. Aktivieren Sie unter Implizite Genehmigung das Kontrollkästchen ID-Token .

  10. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

  11. Wählen Sie im linken Bereich API verfügbar machen aus, geben Sie neben Anwendungs-ID-URI Ihre App Service URL ein, einschließlich Hostname und Domäne, und wählen Sie dann Festlegen aus.

  12. Wählen Sie auf der Seite Api verfügbar machen im Bereich Bereiche, die von dieser API definiert sind , die Option Bereich hinzufügen aus. Im neuen Bereich:

    1. Definieren Sie den Bereichsnamen als user_impersonation.

    2. Wählen Sie die Administratoren und Benutzer aus, die zustimmen können.

    3. Definieren Sie alle verbleibenden erforderlichen Werte.

    4. Klicken Sie auf Bereich hinzufügen.

    5. Wählen Sie oben Speichern aus, um Ihre Änderungen zu speichern.

  13. Wählen Sie auf der Seite Api verfügbar machen im Bereich Autorisierte Clientanwendungen die Option Clientanwendung hinzufügen aus.

    In der neuen Clientanwendung:

    1. Definieren Sie die Client-ID als d3590ed6-52b3-4102-aeff-aad2292ab01c. Dieser Wert ist die Microsoft Office-Client-ID, mit der Office ein Zugriffstoken für Ihren Schlüsselspeicher abrufen kann.

    2. Wählen Sie unter Autorisierte Bereiche den bereich user_impersonation aus.

    3. Wählen Sie Anwendung hinzufügen aus.

    4. Wählen Sie oben Speichern aus, um Ihre Änderungen zu speichern.

    5. Wiederholen Sie diese Schritte, aber definieren Sie die Client-ID dieses Mal als c00e9d32-3c8d-4a7d-832b-029040e7db99. Dieser Wert ist die Azure Information Protection Client-ID für einheitliche Bezeichnungen.

Ihr DKE-Dienst ist jetzt registriert. Fahren Sie fort , indem Sie Bezeichnungen mithilfe von DKE erstellen.

Erstellen von Vertraulichkeitsbezeichnungen mithilfe von DKE

Erstellen Sie im Microsoft Purview-Complianceportal eine neue Vertraulichkeitsbezeichnung, und wenden Sie die Verschlüsselung wie sonst an. Wählen Sie Use Double Key Encryption (Verschlüsselung mit doppeltem Schlüssel verwenden ) aus, und geben Sie die Endpunkt-URL für Ihren Schlüssel ein. Sie müssen den Schlüsselnamen, den Sie im Abschnitt "TestKeys" der Datei appsettings.json angegeben haben, in die URL einschließen.

Beispiel: https://testingdke1.azurewebsites.net/KEYNAME

Wählen Sie im Microsoft Purview-Complianceportal die Option Use Double Key Encryption (Verschlüsselung mit doppeltem Schlüssel verwenden) aus.

Alle DKE-Bezeichnungen, die Sie hinzufügen, werden für Benutzer in den neuesten Versionen von Microsoft 365 Apps for Enterprise angezeigt.

Hinweis

Es kann bis zu 24 Stunden dauern, bis die Clients mit den neuen Bezeichnungen aktualisiert werden.

Aktivieren von DKE in Ihrem Client

Wenn Sie Office Insider sind, ist DKE für Sie aktiviert. Aktivieren Sie andernfalls DKE für Ihren Client, indem Sie die folgenden Registrierungsschlüssel hinzufügen:

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrieren geschützter Dateien von HYOK-Bezeichnungen zu DKE-Bezeichnungen

Wenn Sie möchten, können Sie inhalte, die Sie mit HYOK-Bezeichnungen geschützt haben, nach Abschluss der Einrichtung von DKE zu DKE-Bezeichnungen migrieren. Für die Migration verwenden Sie den Microsoft Purview Information Protection Scanner. Informationen zu den ersten Schritten mit dem Scanner finden Sie unter Grundlegendes zum Informationsschutzscanner.

Wenn Sie keine Inhalte migrieren, bleiben Ihre HYOK-geschützten Inhalte davon unberührt.

Weitere Bereitstellungsoptionen

Wir sind uns bewusst, dass diese Standardreferenzimplementierung mit softwarebasierten Schlüsseln für einige Kunden in stark regulierten Branchen möglicherweise nicht ausreicht, um ihre erweiterten Complianceverpflichtungen und -anforderungen zu erfüllen. Wir arbeiten mit Drittanbietern von Hardwaresicherheitsmodulen (HSM) zusammen, um erweiterte Schlüsselverwaltungsoptionen im DKE-Dienst zu unterstützen, einschließlich:

Wenden Sie sich direkt an diese Anbieter, um weitere Informationen und Anleitungen zu ihren auf dem Markt erhältlichen DKE HSM-Lösungen zu erhalten.