Chiffrement à double clé

S’applique à : Chiffrement à double clé Microsoft Purview, Microsoft Purview, Azure Information Protection

Instructions pour : Client d’étiquetage unifié Azure Information Protection pour Windows

Description du service pour : Microsoft Purview

Le chiffrement à double clé (DKE) utilise deux clés ensemble pour accéder au contenu protégé. Microsoft stocke une clé dans Microsoft Azure, et vous détenez l’autre clé. Vous conservez le contrôle total de l’une de vos clés à l’aide du service Chiffrement à double clé. Vous appliquez la protection à l’aide du client d’étiquetage unifié Azure Information Protection à votre contenu hautement sensible.

Le chiffrement à double clé prend en charge les déploiements cloud et locaux. Ces déploiements permettent de garantir que les données chiffrées restent opaques partout où vous stockez les données protégées.

Pour plus d’informations sur les clés racines de locataire basées sur le cloud par défaut, consultez Planification et implémentation de votre clé de locataire Azure Information Protection.

Conseil

Si vous n’êtes pas un client E5, vous pouvez essayer gratuitement toutes les fonctionnalités Premium de Microsoft Purview. Utilisez la version d’évaluation de 90 jours des solutions Purview pour découvrir comment des fonctionnalités Purview robustes peuvent aider votre organisation à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Quand votre organisation doit adopter DKE

Le chiffrement à double clé est destiné à vos données les plus sensibles soumises aux exigences de protection les plus strictes. DKE n’est pas destiné à toutes les données. En général, vous utiliserez le chiffrement à double clé pour protéger uniquement une petite partie de vos données globales. Vous devez faire preuve de diligence raisonnable dans l’identification des données appropriées à couvrir avec cette solution avant de le déployer. Dans certains cas, vous devrez peut-être limiter votre portée et utiliser d’autres solutions pour la plupart de vos données, telles que Protection des données Microsoft Purview avec des clés gérées par Microsoft ou BYOK. Ces solutions sont suffisantes pour les documents qui ne sont pas soumis à des protections renforcées et à des exigences réglementaires. En outre, ces solutions vous permettent d’utiliser les services Office 365 les plus puissants, c’est-à-dire les services que vous ne pouvez pas utiliser avec le contenu chiffré DKE. Par exemple :

  • Règles de transport, y compris les logiciels anti-programme malveillant et les courriers indésirables qui nécessitent une visibilité sur la pièce jointe
  • Microsoft Delve
  • eDiscovery
  • Recherche et indexation de contenu
  • Office Web Apps notamment la fonctionnalité de co-création

Toutes les applications ou services externes qui ne sont pas intégrés à DKE via le Kit de développement logiciel (SDK) Protection des données Microsoft (MIP) ne pourront pas effectuer d’actions sur les données chiffrées.

Le Protection des données Microsoft SDK 1.7+ prend en charge le chiffrement à double clé. Les applications qui s’intègrent à notre SDK peuvent raisonner sur ces données avec des autorisations et des intégrations suffisantes en place.

Utilisez Protection des données Microsoft Purview fonctionnalités (classification et étiquetage) pour protéger la plupart de vos données sensibles et utilisez uniquement DKE pour vos données stratégiques. Le chiffrement à double clé est pertinent pour les données sensibles dans des secteurs hautement réglementés tels que les services financiers et les soins de santé.

Si vos organisations ont l’une des exigences suivantes, vous pouvez utiliser DKE pour sécuriser votre contenu :

  • Vous souhaitez vous assurer que vous seul pouvez déchiffrer le contenu protégé, en toutes circonstances.
  • Vous ne souhaitez pas que Microsoft ait accès à des données protégées par lui-même.
  • Vous avez des exigences réglementaires pour conserver les clés dans une limite géographique. Toutes les clés que vous possédez pour le chiffrement et le déchiffrement des données sont conservées dans votre centre de données.

Configuration système et licence requise pour DKE

Le chiffrement à double clé est fourni avec Microsoft 365 E5. Si vous n’avez pas de licence Microsoft 365 E5, vous pouvez vous inscrire à un essai. Pour plus d’informations sur ces licences, consultez Guide de gestion des licences Microsoft 365 pour la conformité de la sécurité&.

Azure Information Protection. DKE fonctionne avec les étiquettes de confidentialité et nécessite Azure Information Protection.

Les étiquettes de confidentialité DKE sont mises à la disposition des utilisateurs finaux via le bouton de confidentialité dans le client DIP Unified Labeling dans les applications de bureau Office. Installez ces prérequis sur chaque ordinateur client sur lequel vous souhaitez protéger et consommer des documents protégés.

Microsoft Office Apps pour entreprise version 2009 ou ultérieure (versions de bureau de Word, Excel, PowerPoint et Outlook) sur Windows.

Azure Information Protection client d’étiquetage unifié versions 2.14.93.0 ou ultérieures. Téléchargez et installez le client d’étiquetage unifié à partir du Centre de téléchargement Microsoft.

Environnements pris en charge pour le stockage et l’affichage de contenu protégé par DKE

Applications prises en charge. Applications Microsoft 365 pour les grandes entreprises clients sur Windows, notamment Word, Excel, PowerPoint et Outlook.

Prise en charge du contenu en ligne. Vous pouvez stocker des documents et des fichiers protégés par le chiffrement à double clé en ligne dans Microsoft SharePoint et OneDrive Entreprise. Vous devez étiqueter et protéger les documents et les fichiers avec DKE par les applications prises en charge avant de les charger vers ces emplacements. Vous pouvez partager du contenu chiffré par e-mail, mais vous ne pouvez pas afficher de documents et de fichiers chiffrés en ligne. Au lieu de cela, vous devez afficher le contenu protégé à l’aide des applications de bureau et des clients pris en charge sur votre ordinateur local.

Scénarios de chiffrement Outlook uniquement et ne pas transférer La configuration de DKE pour les scénarios pris en charge crée un avertissement dans l’expérience de configuration des étiquettes. Pour le chiffrement uniquement et ne pas transférer, ces scénarios non pris en charge n’ont aucun avertissement dans l’expérience de configuration des étiquettes.

Vue d’ensemble du déploiement de DKE

Vous allez suivre ces étapes générales pour configurer DKE. Une fois ces étapes terminées, vos utilisateurs finaux peuvent protéger vos données hautement sensibles avec le chiffrement à double clé.

  1. Déployez le service DKE comme décrit dans cet article.

  2. Créez une étiquette avec chiffrement à double clé. Dans le portail de conformité Microsoft Purview, accédez à Protection des informations et créez une étiquette avec chiffrement à double clé. Consultez Restreindre l’accès au contenu à l’aide d’étiquettes de confidentialité pour appliquer le chiffrement.

  3. Utilisez des étiquettes de chiffrement à double clé. Protégez les données en sélectionnant l’étiquette Double Key Encrypted dans le ruban Confidentialité dans Microsoft Office.

Il existe plusieurs façons d’effectuer certaines étapes pour déployer le chiffrement à double clé. Cet article fournit des instructions détaillées pour que les administrateurs moins expérimentés déploient correctement le service. Si vous êtes à l’aise, vous pouvez choisir d’utiliser vos propres méthodes.

Déployer DKE

Cet article et la vidéo de déploiement utilisent Azure comme destination de déploiement pour le service DKE. Si vous effectuez un déploiement vers un autre emplacement, vous devez fournir vos propres valeurs.

Vous allez suivre ces étapes générales pour configurer le chiffrement à double clé pour votre organisation.

  1. Installer les prérequis logiciels pour le service DKE
  2. Cloner le référentiel GitHub chiffrement à double clé
  3. Modifier les paramètres de l’application
  4. Générer des clés de test
  5. Générez le projet.
  6. Déployer le service DKE et publier le magasin de clés
  7. Validation du déploiement
  8. Inscrire votre magasin de clés
  9. Créer des étiquettes de confidentialité à l’aide de DKE
  10. Activer DKE dans votre client
  11. Migrer des fichiers protégés d’étiquettes HYOK vers des étiquettes DKE

Lorsque vous avez terminé, vous pouvez chiffrer des documents et des fichiers à l’aide de DKE. Pour plus d’informations, voir Appliquer des étiquettes de confidentialité à vos fichiers et e-mails dans Office.

Installer les prérequis logiciels pour le service DKE

Installez ces prérequis sur l’ordinateur sur lequel vous souhaitez installer le service DKE.

Sdk .NET Core 7.0. Téléchargez et installez le Kit de développement logiciel (SDK) à partir de Télécharger .NET Core 7.0.

Visual Studio Code. Téléchargez Visual Studio Code à partir de https://code.visualstudio.com/. Une fois installé, exécutez Visual Studio Code et sélectionnez Afficher les>extensions. Installez ces extensions.

  • C# pour Visual Studio Code

  • Gestionnaire de package NuGet

Ressources Git. Téléchargez et installez l’une des options suivantes.

OpensslOpenSSL doit être installé pour générer des clés de test après avoir déployé DKE. Assurez-vous que vous l’appelez correctement à partir du chemin de vos variables d’environnement. Par exemple, consultez « Ajouter le répertoire d’installation à PATH » à l’adresse pour plus d’informations https://www.osradar.com/install-openssl-windows/ .

Cloner le référentiel GitHub DKE

Microsoft fournit les fichiers sources DKE dans un dépôt GitHub. Vous clonez le dépôt pour générer le projet localement pour l’utilisation de votre organisation. Le dépôt GitHub DKE se trouve à l’adresse https://github.com/Azure-Samples/DoubleKeyEncryptionService.

Les instructions suivantes sont destinées aux utilisateurs inexpérimentés de Git ou de Visual Studio Code :

  1. Dans votre navigateur, accédez à : https://github.com/Azure-Samples/DoubleKeyEncryptionService.

  2. Sur le côté droit de l’écran, sélectionnez Code. Votre version de l’interface utilisateur peut afficher un bouton Cloner ou télécharger . Ensuite, dans la liste déroulante qui s’affiche, sélectionnez l’icône de copie pour copier l’URL dans le Presse-papiers.

    Par exemple :

    Clonez le référentiel du service Double Key Encryption à partir de GitHub.

  3. Dans Visual Studio Code, sélectionnez Afficher la>palette de commandes , puis Git : Cloner. Pour accéder à l’option de la liste, commencez à taper git: clone pour filtrer les entrées, puis sélectionnez-la dans la liste déroulante. Par exemple :

    Option GIT:Clone de Visual Studio Code.

  4. Dans la zone de texte, collez l’URL que vous avez copiée à partir de Git et sélectionnez Cloner à partir de GitHub.

  5. Dans la boîte de dialogue Sélectionner un dossier qui s’affiche, accédez à et sélectionnez un emplacement pour stocker le dépôt. À l’invite, sélectionnez Ouvrir.

    Le dépôt s’ouvre dans Visual Studio Code et affiche la branche Git actuelle en bas à gauche. Par exemple, la branche doit être principale. Par exemple :

    Capture d’écran du dépôt DKE dans Visual Studio Code affichant la branche principale.

  6. Si vous n’êtes pas sur la branche principale, vous devez la sélectionner. Dans Visual Studio Code, sélectionnez la branche et choisissez main dans la liste des branches qui s’affiche.

    Importante

    La sélection de la branche principale garantit que vous disposez des fichiers appropriés pour générer le projet. Si vous ne choisissez pas la branche appropriée, votre déploiement échouera.

Votre référentiel source DKE est maintenant configuré localement. Ensuite, modifiez les paramètres d’application de votre organisation.

Modifier les paramètres de l’application

Pour déployer le service DKE, vous devez modifier les types de paramètres d’application suivants :

Vous modifiez les paramètres d’application dans le fichier appsettings.json. Ce fichier se trouve dans le dépôt DoubleKeyEncryptionService que vous avez cloné localement sous DoubleKeyEncryptionService\src\customer-key-store. Par exemple, dans Visual Studio Code, vous pouvez accéder au fichier comme illustré dans l’image suivante.

Localisation du fichier appsettings.json pour DKE.

Paramètres d’accès aux clés

Choisissez d’utiliser l’autorisation de messagerie ou de rôle. DKE ne prend en charge qu’une seule de ces méthodes d’authentification à la fois.

  • autorisation Email. Permet à votre organisation d’autoriser l’accès aux clés en fonction des adresses e-mail uniquement.

  • Autorisation de rôle. Permet à votre organisation d’autoriser l’accès aux clés basées sur des groupes Active Directory et exige que le service web puisse interroger LDAP.

Pour définir les paramètres d’accès aux clés pour DKE à l’aide de l’autorisation de messagerie
  1. Ouvrez le fichier appsettings.json et recherchez le AuthorizedEmailAddress paramètre.

  2. Ajoutez la ou les adresses e-mail que vous souhaitez autoriser. Séparez plusieurs adresses e-mail par des guillemets doubles et des virgules. Par exemple :

    "AuthorizedEmailAddress": ["email1@company.com", "email2@company.com ", "email3@company.com"]
    
  3. Recherchez le LDAPPath paramètre et supprimez le texte If you use role authorization (AuthorizedRoles) then this is the LDAP path. entre guillemets doubles. Laissez les guillemets doubles en place. Lorsque vous avez terminé, le paramètre doit ressembler à ceci.

    "LDAPPath": ""
    
  4. Recherchez le AuthorizedRoles paramètre et supprimez la ligne entière.

Cette image montre le fichier appsettings.json correctement mis en forme pour l’autorisation par e-mail.

Fichier appsettings.json montrant la méthode d’autorisation par e-mail.

Pour définir les paramètres d’accès aux clés pour DKE à l’aide de l’autorisation de rôle
  1. Ouvrez le fichier appsettings.json et recherchez le AuthorizedRoles paramètre.

  2. Ajoutez les noms de groupes Active Directory que vous souhaitez autoriser. Séparez plusieurs noms de groupes par des guillemets doubles et des virgules. Par exemple :

    "AuthorizedRoles": ["group1", "group2", "group3"]
    
  3. Recherchez le LDAPPath paramètre et ajoutez le domaine Active Directory. Par exemple :

    "LDAPPath": "contoso.com"
    
  4. Recherchez le AuthorizedEmailAddress paramètre et supprimez la ligne entière.

Cette image montre le fichier appsettings.json correctement mis en forme pour l’autorisation de rôle.

Fichier appsettings.json montrant la méthode d’autorisation de rôle.

Paramètres de locataire et de clé

Les paramètres de clé et de locataire DKE se trouvent dans le fichier appsettings.json .

Pour configurer les paramètres de locataire et de clé pour DKE
  1. Ouvrez le fichier appsettings.json .

  2. Recherchez le ValidIssuers paramètre et remplacez par <tenantid> votre ID de locataire. Vous pouvez localiser votre ID de locataire en accédant à la Portail Azure et en affichant les propriétés du locataire. Par exemple :

    "ValidIssuers": [
      "https://sts.windows.net/9c99431e-b513-44be-a7d9-e7b500002d4b/"
    ]
    

Remarque

Si vous souhaitez activer l’accès B2B externe à votre magasin de clés, vous devez également inclure ces locataires externes dans la liste des émetteurs valides.

Recherchez le JwtAudience. Remplacez par <yourhostname> le nom d’hôte de l’ordinateur sur lequel le service DKE s’exécutera. Par exemple : «https://dkeservice.contoso.com" ;

Importante

La valeur de JwtAudience doit correspondre exactement au nom de votre hôte.

  • TestKeys:Name. Entrez un nom pour votre clé. Par exemple : TestKey1
  • TestKeys:Id. Créez un GUID et entrez-le TestKeys:ID comme valeur. Par exemple : DCE1CC21-FF9B-4424-8FF4-9914BD19A1BE. Vous pouvez utiliser un site comme Online GUID Generator pour générer un GUID de manière aléatoire.

Cette image montre le format correct pour les paramètres de locataire et de clés dans appsettings.json. LDAPPath est configuré pour l’autorisation de rôle.

Affiche les paramètres de locataire et de clé corrects pour DKE dans le fichier appsettings.json.

Générer des clés de test

Une fois que vous avez défini vos paramètres d’application, vous êtes prêt à générer des clés de test publiques et privées.

Pour générer des clés :

  1. Dans le menu Démarrer de Windows, exécutez l’invite de commandes OpenSSL.

  2. Accédez au dossier dans lequel vous souhaitez enregistrer les clés de test. Les fichiers que vous créez en effectuant les étapes de cette tâche sont stockés dans le même dossier.

  3. Générez la nouvelle clé de test.

    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365
    
  4. Générez la clé privée.

    Si vous avez installé OpenSSL version 3 ou ultérieure, exécutez la commande suivante :

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM -traditional

Sinon, exécutez la commande suivante :

openssl rsa -in key.pem -out privkeynopass.pem -outform PEM
  1. Générez la clé publique.

    openssl rsa -in key.pem -pubout > pubkeyonly.pem
    
  2. Dans un éditeur de texte, ouvrez pubkeyonly.pem. Copiez tout le contenu du fichier pubkeyonly.pem , à l’exception des première et dernière lignes, dans la PublicPem section du fichier appsettings.json .

  3. Dans un éditeur de texte, ouvrez privkeynopass.pem. Copiez tout le contenu du fichier privkeynopass.pem , à l’exception des première et dernière lignes, dans la PrivatePem section du fichier appsettings.json .

  4. Supprimez tous les espaces vides et les sauts de ligne dans les PublicPem sections et PrivatePem .

    Importante

    Lorsque vous copiez ce contenu, ne supprimez aucune des données PEM.

  5. Dans Visual Studio Code, accédez au fichier Startup.cs . Ce fichier se trouve dans le dépôt DoubleKeyEncryptionService que vous avez cloné localement sous DoubleKeyEncryptionService\src\customer-key-store.

  6. Localisez les lignes suivantes :

        #if USE_TEST_KEYS
        #error !!!!!!!!!!!!!!!!!!!!!! Use of test keys is only supported for testing,
        DO NOT USE FOR PRODUCTION !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
        services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
        #endif
    
  7. Remplacez ces lignes par le texte suivant :

    services.AddSingleton<ippw.IKeyStore, ippw.TestKeyStore>();
    

    Les résultats finaux doivent ressembler à ce qui suit.

    fichier startup.cs pour la préversion publique.

Vous êtes maintenant prêt à générer votre projet DKE.

Générez le projet.

Utilisez les instructions suivantes pour générer le projet DKE localement :

  1. Dans Visual Studio Code, dans le référentiel du service DKE, sélectionnez Afficher> lapalette de commandes, puis tapez build à l’invite.

  2. Dans la liste, choisissez Tâches : Exécuter la tâche de génération.

    Si aucune tâche de build n’est trouvée, sélectionnez Configurer la tâche de génération et créez-en une pour .NET Core comme suit.

    Configurez la tâche de build manquante pour .NET.

    1. Choisissez Créer des tâches.json à partir d’un modèle.

      Créez un fichier tasks.json à partir d’un modèle pour DKE.

    2. Dans la liste des types de modèles, sélectionnez .NET Core.

      Sélectionnez le modèle approprié pour DKE.

    3. Dans la section build, recherchez le chemin d’accès au fichier customerkeystore.csproj . Si ce n’est pas le cas, ajoutez la ligne suivante :

      "${workspaceFolder}/src/customer-key-store/customerkeystore.csproj",
      
    4. Réexécutez la build.

  3. Vérifiez qu’il n’y a pas d’erreur rouge dans la fenêtre de sortie.

    S’il existe des erreurs rouges, vérifiez la sortie de la console. Vérifiez que vous avez effectué toutes les étapes précédentes correctement et que les versions de build correctes sont présentes.

Votre configuration est maintenant terminée. Avant de publier le magasin de clés, dans appsettings.json, pour le paramètre JwtAudience, vérifiez que la valeur du nom d’hôte correspond exactement à votre nom d’hôte App Service.

Déployer le service DKE et publier le magasin de clés

Pour les déploiements de production, déployez le service dans un cloud tiers ou publiez-le sur un système local.

Vous pouvez préférer d’autres méthodes pour déployer vos clés. Sélectionnez la méthode qui convient le mieux à votre organisation.

Pour les déploiements pilotes, vous pouvez déployer dans Azure et commencer immédiatement.

Pour créer une instance Azure Web App pour héberger votre déploiement DKE

Pour publier le magasin de clés, vous allez créer une instance Azure App Service pour héberger votre déploiement DKE. Ensuite, vous allez publier vos clés générées sur Azure.

  1. Dans votre navigateur, connectez-vous au Portail Azure Microsoft, puis accédez à App Services>Ajouter.

  2. Sélectionnez votre abonnement et votre groupe de ressources, puis définissez les détails de votre instance.

    • Entrez le nom d’hôte de l’ordinateur sur lequel vous souhaitez installer le service DKE. Vérifiez qu’il s’agit du même nom que celui défini pour le paramètre JwtAudience dans le fichier appsettings.json . La valeur que vous fournissez pour le nom est également WebAppInstanceName.

    • Pour Publier, sélectionnez code et, pour Pile d’exécution, sélectionnez .NET Core 3.1.

    Par exemple :

    Ajoutez votre App Service.

  3. En bas de la page, sélectionnez Vérifier + créer, puis Ajouter.

  4. Effectuez l’une des opérations suivantes pour publier vos clés générées :

Publier via ZipDeployUI

  1. Accédez à https://<WebAppInstanceName>.scm.azurewebsites.net/ZipDeployUI.

    Par exemple : https://dkeservice.contoso.scm.azurewebsites.net/ZipDeployUI

  2. Dans le codebase du magasin de clés, accédez au dossier customer-key-store\src\customer-key-store et vérifiez que ce dossier contient le fichier customerkeystore.csproj .

  3. Exécuter : dotnet publish

    La fenêtre de sortie affiche le répertoire dans lequel la publication a été déployée.

    Par exemple : customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  4. Envoyez tous les fichiers du répertoire de publication à un fichier .zip. Lorsque vous créez le fichier .zip, assurez-vous que tous les fichiers du répertoire se trouvent au niveau racine du fichier .zip.

  5. Faites glisser et déposez le fichier .zip que vous créez sur le site ZipDeployUI que vous avez ouvert ci-dessus. Par exemple : https://dkeservice.scm.azurewebsites.net/ZipDeployUI

DKE est déployé et vous pouvez accéder aux clés de test que vous avez créées. Continuez à Valider votre déploiement ci-dessous.

Publier via FTP

  1. Connectez-vous au App Service que vous avez créé ci-dessus.

    Dans votre navigateur, accédez à : Portail Azure>App Service>Déploiement Center>Manual Deployment>FTP>Dashboard.

  2. Copiez les chaînes de connexion affichées dans un fichier local. Vous utiliserez ces chaînes pour vous connecter au web App Service et charger des fichiers via FTP.

    Par exemple :

    Copiez les chaînes de connexion à partir du tableau de bord FTP.

  3. Dans le codebase du stockage de clés, accédez au répertoire customer-key-store\src\customer-key-store.

  4. Vérifiez que ce répertoire contient le fichier customerkeystore.csproj .

  5. Exécuter : dotnet publish

    La sortie contient le répertoire dans lequel la publication a été déployée.

    Par exemple : customer-key-store\src\customer-key-store\bin\Debug\netcoreapp3.1\publish\

  6. Envoyez tous les fichiers du répertoire de publication à un fichier zip. Lorsque vous créez le fichier .zip, assurez-vous que tous les fichiers du répertoire se trouvent au niveau racine du fichier .zip.

  7. À partir de votre client FTP, utilisez les informations de connexion que vous avez copiées pour vous connecter à votre App Service. Chargez le fichier .zip que vous avez créé à l’étape précédente dans le répertoire racine de votre application web.

DKE est déployé et vous pouvez accéder aux clés de test que vous avez créées. Ensuite, validez votre déploiement.

Validation du déploiement

Après avoir déployé DKE à l’aide de l’une des méthodes décrites ci-dessus, validez le déploiement et les paramètres du magasin de clés.

Courir:

src\customer-key-store\scripts\key_store_tester.ps1 dkeserviceurl/mykey

Par exemple :

key_store_tester.ps1 https://dkeservice.contoso.com/TestKey1

Vérifiez qu’aucune erreur n’apparaît dans la sortie. Lorsque vous êtes prêt, inscrivez votre magasin de clés.

Le nom de la clé respecte la casse. Entrez le nom de clé tel qu’il apparaît dans le fichier appsettings.json.

Inscrire votre magasin de clés

Les étapes suivantes vous permettent d’inscrire votre service DKE. L’inscription de votre service DKE est la dernière étape du déploiement de DKE avant de commencer à créer des étiquettes.

Pour inscrire le service DKE :

  1. Dans votre navigateur, ouvrez le Portail Azure Microsoft, puis accédez àInscriptions d’applications d’identité>de tous les services>.

  2. Sélectionnez Nouvelle inscription, puis entrez un nom explicite.

  3. Sélectionnez un type de compte parmi les options affichées.

    Par exemple :

    Nouvelle inscription d’application.

  4. En bas de la page, sélectionnez Inscrire pour créer l’inscription d’application.

  5. Dans votre nouvelle inscription d’application, dans le volet gauche, sous Gérer, sélectionnez Authentification.

  6. Sélectionnez Ajouter une plateforme.

  7. Dans la fenêtre contextuelle Configurer les plateformes , sélectionnez Web.

  8. Sous URI de redirection, entrez l’URI de votre service de chiffrement à double clé. Entrez l’URL App Service, y compris le nom d’hôte et le domaine.

    Par exemple : https://mydkeservicetest.com

    • L’URL que vous entrez doit correspondre au nom d’hôte où votre service DKE est déployé.
    • Le domaine doit être un domaine vérifié.
    • Dans tous les cas, le schéma doit être https.

    Vérifiez que le nom d’hôte correspond exactement à votre nom d’hôte App Service.

  9. Sous Octroi implicite, cochez la case Jetons d’ID .

  10. Sélectionnez Enregistrer pour enregistrer vos modifications.

  11. Dans le volet gauche, sélectionnez Exposer une API, en regard de URI d’ID d’application, entrez votre URL App Service, y compris le nom d’hôte et le domaine, puis sélectionnez Définir.

  12. Toujours dans la page Exposer une API , dans la zone Étendues définies par cette API , sélectionnez Ajouter une étendue. Dans la nouvelle étendue :

    1. Définissez le nom de l’étendue comme user_impersonation.

    2. Sélectionnez les administrateurs et les utilisateurs qui peuvent donner leur consentement.

    3. Définissez toutes les valeurs restantes requises.

    4. Sélectionnez Ajouter une étendue.

    5. Sélectionnez Enregistrer en haut pour enregistrer vos modifications.

  13. Toujours dans la page Exposer une API , dans la zone Applications clientes autorisées , sélectionnez Ajouter une application cliente.

    Dans la nouvelle application cliente :

    1. Définissez l’ID client comme d3590ed6-52b3-4102-aeff-aad2292ab01c. Cette valeur est l’ID client Microsoft Office et permet à Office d’obtenir un jeton d’accès pour votre magasin de clés.

    2. Sous Étendues autorisées, sélectionnez l’étendue user_impersonation .

    3. Sélectionnez Ajouter une application.

    4. Sélectionnez Enregistrer en haut pour enregistrer vos modifications.

    5. Répétez ces étapes, mais cette fois, définissez l’ID client comme c00e9d32-3c8d-4a7d-832b-029040e7db99. Cette valeur est l’ID client d’étiquetage unifié Azure Information Protection.

Votre service DKE est maintenant inscrit. Continuez en créant des étiquettes à l’aide de DKE.

Créer des étiquettes de confidentialité à l’aide de DKE

Dans le portail de conformité Microsoft Purview, créez une étiquette de confidentialité et appliquez le chiffrement comme vous le feriez autrement. Sélectionnez Utiliser le chiffrement à double clé et entrez l’URL du point de terminaison de votre clé. Vous devez inclure le nom de clé que vous avez fourni dans la section « TestKeys » du fichier appsettings.json dans l’URL.

Par exemple : https://testingdke1.azurewebsites.net/KEYNAME

Sélectionnez Utiliser le chiffrement à double clé dans le portail de conformité Microsoft Purview.

Toutes les étiquettes DKE que vous ajoutez commencent à apparaître pour les utilisateurs dans les dernières versions de Applications Microsoft 365 pour les grandes entreprises.

Remarque

L’actualisation des clients avec les nouvelles étiquettes peut prendre jusqu’à 24 heures.

Activer DKE dans votre client

Si vous êtes un Office Insider, DKE est activé pour vous. Sinon, activez DKE pour votre client en ajoutant les clés de Registre suivantes :

   [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\flighting]
   "DoubleKeyProtection"=dword:00000001

Migrer des fichiers protégés d’étiquettes HYOK vers des étiquettes DKE

Si vous le souhaitez, une fois que vous avez terminé de configurer DKE, vous pouvez migrer du contenu que vous avez protégé à l’aide d’étiquettes HYOK vers des étiquettes DKE. Pour migrer, vous allez utiliser le scanneur Protection des données Microsoft Purview. Pour commencer à utiliser le scanneur, consultez Comprendre le scanneur de protection des informations.

Si vous ne migrez pas de contenu, votre contenu protégé par HYOK reste inchangé.

Autres options de déploiement

Nous sommes conscients que pour certains clients dans des secteurs hautement réglementés, cette implémentation de référence standard utilisant des clés logicielles peut ne pas être suffisante pour répondre à leurs obligations et besoins de conformité accrus. Nous avons conclu un partenariat avec des fournisseurs de modules de sécurité matériel (HSM) tiers pour prendre en charge les options de gestion des clés améliorées dans le service DKE, notamment :

Contactez directement ces fournisseurs pour obtenir plus d’informations et de conseils sur leurs solutions HSM DKE sur le marché.